Onursal Adıgüzel, Kişisel Verilerin Bir Firmayla Paylaşıldığına Dair İddiaları Sordu

16.06.2022

CHP Genel Başkan Yardımcısı ve İstanbul Milletvekili Onursal Adıgüzel, Boğaziçi Üniversitesi Bilgi İletişim Merkezine yönelik mevcut ve mezun öğrenciler ile akademik ve idari personelin kişisel verilerinin bulunduğu veri tabanlarının bir firma ile paylaşıldığı iddialarını ve üniversitenin bilişim altyapısını takip etmekle görevli Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu (BTK) başkan ve üyelerinin apar topar rektör tarafından görevden alınmasını Milli Eğitim Bakanı Mahmut Özer’e sordu. CHP’li Adıgüzel “İddialar ve sonrasında okul idaresince verilen tepkiler Boğaziçi Üniversitesi Rektörlüğünün bir firmaya Boğaziçi Üniversitesi mensuplarının kişisel verilerine sınırsız erişim hakkı verdiğini gösteriyor. Üstüne üstlük üniversitede bulunan her türlü yazılım ve donanım altyapısıyla ilgili uygulamaları takip etmekle görevli BTK’nın başkan ve üyelerinin görevden alınması mevcut iktidar anlayışının bir yansıması olarak karşımızda duruyor. Siber güvenliğe dair var olan endişeleri gidermek ve gerekli önlemleri almakla görevli rektörlük, tam aksi yönde hareket ederek iddiaları araştıran kurulu cezalandırmaktadır. Bu uygulama iktidarın her türlü usulsüz uygulamayı örtmeye yönelik sıklıkla başvurduğu bir yöntemdir. Boğaziçi Üniversitesinde yaşananlar saray iktidarının baskı ve sindirme politikalarının bütün kurumlara sirayet ettiğini bir kez daha göstermektedir.” dedi.

“Kişisel Verilerin Gaspı Kabul Edilemez”

CHP Genel Başkan Yardımcısı Adıgüzel, Milli Eğitim Bakanı Mahmut Özer’in yanıtlaması istemiyle verdiği önergenin gerekçesinde Boğaziçi Üniversitesi Akademisyenleri tarafından yapılan ve medyaya yansıyan açıklamaları vurguladı. Konuya ilişkin yaptığı değerlendirmede CHP’li Adıgüzel şu ifadelere yer verdi:

“Öncelikle hukuki açıdan baktığımızda, Boğaziçi Üniversitesi rektörlüğünün eylem ve işlemleri, Kişisel Verileri Koruma Kanununun açıkça ihlal edildiğini ve okul bileşenlerinin mahremiyet haklarının çiğnendiğini göstermektedir. Kişisel verilerin, rektörlüğün gözetimi ve onayı dahlinde bir firma tarafından gasp edilmesi kabul edilemez. Rektörlük veri güvenliğine dair ihlalleri araştırmak ve çözüm bulmak yerine BTK üyelerini görevden almayı, Bilgi İletişim Dairesi Başkanlığına iktidar partisi ile yakın isimleri atamayı ve Bilgi İşlem personeline baskı kurarak iddiaları örtbas etmeyi tercih etmiştir. Her türlü kamusal alana sirayet eden bu yönetim anlayışı, Boğaziçi Üniversitesi öğrencilerinin ve çalışanlarının mahremiyet hakları ve kişisel veri güvenliğini tehdit etmektedir. Bugün Saray rejimi ve onun kurumları tarafından uygulanan ve yurttaşların kişisel verilerine dair her türlü hakkını ve hukukunu ihlal eden anlayışın bir benzeri, Boğaziçi Üniversitesi rektörlüğü tarafından mikro ölçekte uygulamaya geçirilmektedir.”

“Kişisel Veri Güvenliğinin Açık Bir Şekilde İhlaline Yol Açacak Bu Uygulamaların Gerekçesi Nedir?”

Adıgüzel, soru önergesinde şu sorulara yer verdi:

  1. Bir firmaya kullanıcıların açık onayı alınmadan akademik personel, idari personel, öğrenci ve mezunların kişisel bilgilerini de barındıran dört veritabanına erişim hakkı verildiğine yönelik iddialar doğru mudur?
  2. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin bile adına kamuya açık web sayfaları oluşturduğu Bilgi ve İletişim Güvenliği Rehberi (BİGR) için yapılan hizmet alımının 21(f) maddesiyle gizli ve davet usulüyle yapıldığı doğru mudur? Bu ihalenin rekabete açık şekilde yapılmak yerine 21(f) ile yapılması için ne gibi haklı gerekçeler vardır? BİGR rehberine uyumluluğun acil ve gizli olarak değerlendirmesinin gerekçesi nedir?
  3. Yine aynı şekilde danışmanlık hizmeti alınan başka bir firma tarafından sunucuların yönetici şifrelerinin ve uzaktan yönetici seviyesinde erişim hakkının istendiği, veri trafiğinin başka bir sisteme yansısının alınmasının talep edildiğine yönelik iddialar doğru mudur?
  4. BİGR uyumu danışmanlık ihalesini alan firmanın isminin gizli tutulması gerekirken firmanın web sitesindeki referanslar listesinde Boğaziçi Üniversitesi’nin adının yer aldığı doğru mudur? Boğaziçi Üniversitesi’nin isminin sözleşme imzalanıp hizmet alımı kesinleşmeden firmanın sitesinde yer aldığı doğru mudur?
  5. Eğer doğru ise Kişisel Verileri Koruma Kanunu (KVKK) çerçevesinde kişisel veri güvenliğinin açık bir şekilde ihlaline yol açacak bu uygulamaların gerekçesi nedir?
  6. Üniversitenin Bilgi Teknolojiler Kurulu’nun feshedilme gerekçesi nedir?
  7. Kurulun feshedilmesinin ardından oluşturulan Bilgi İşlem Dairesi Başkanlığına iktidar partisi ile yakınlığı bilinen bir kişinin atandığı doğru mudur?
  8. Bilgi İşlem Dairesi Başkanlığına atanan Faruk Yakaryılmaz hakkında 2014 yılında gazetelerde yer alan haberler doğru mudur? (https://www.hurriyet.com.tr/ege/izmir-i-sarsan-operasyonda-7-tahliye-25986650)
  9. Yeni daire başkanının göreve başladıktan iki gün sonra iki yeni personel için ilana çıktığı, ilanda "6 yıl iş tecrübesi", Bilgi İşlem de pek de kullanılmayan C# programlama tecrübesi gibi belli bir kişiyi tarif eden özellikler bulunduğu doğru mudur? Bu iki kişinin daha önce alınan personel için uygulanan sınavlardan farklı bir şekilde ve Bilgi İşlem’in bilgisi dışında seçildiği doğru mudur? Bu iki kişiden birinin bu soru önergesine vesile olan iki hizmet alımından birindeki firmanın çalışanı olduğu doğru mudur?
  10. Zaten ifade vermiş Bilgi İşlem personeline ifadelerini değiştirmeleri için baskı ve yönlendirme yapıldığı, çalışanlara istemiyorlarsa kendileriyle yollarını ayırmalarının söylendiği doğru mudur?
  11. Üniversite BT üst kurulu başkanı ve üç üyesinin gasp etmekle suçlandığı belgelerin Rektörlük tarafından başka bir komisyona verildiği doğru mudur? Eğer bu belgeler diğer komisyona verilebiliyorsa Bilgi İşlem’in bağlı ve sorumlu olduğu BTK neyle suçlanmaktadır?