INmagazine Sayı 7 (Temmuz, Ağustos, Eylül) | Page 47
dan, soruşturmaların yukarıda açıklanan şekillerde -Kişisel Veri Kanunu’na uygun şekildeyürütülmesi daha da önem kazanmaktadır.
Buna ek olarak, ilgili çalışanın kurumsal
bilgisayarı/aygıtı verdiğine ilişkin tutanağın
bulunması, tüm hukuki sürecin bir avukat
ile yürütülmesi ve bu şekilde ilgili kişinin
anayasal haklarına ve özellikle özel hayatın
gizliliğine zarar verilmemesi hukuka uygun delillerin toplanılması bakımından
atlanmaması gereken noktalardır. Bu süreç
öncesinde kişinin açık rızasının alınmış
olması en sağlıklı ve güvenli yöntem
olacaktır.
İç soruşturma sırasında bilgisayardan veri
toplanılmasına karar verilirse bu sürecin
çok hassas olduğu ve profesyonel bir ekip
tarafından yürütülmesi gerektiği bilinmelidir.
Bilgisayar, eğer bir ağa bağlı ise, bu ağdan
ayrılmalı ve güvenli bir bölgeye götürülerek
muhafaza altına alınmalıdır. Veriler düzgün
bir şekilde kopyalanarak, kopyalanan verilerin
hash değeri (1) alınmalıdır. Böylelikle veriler
zaman damgasıyla damgalanmış olacaktır.
Hash değerinin ilgili çalışan huzurunda alınması veya bu mümkün değilse zaman damgası da olduğundan alınan hash değerinin ilgili
kişiye iletilmesi şirketi ve ilgili kişiyi koruyacak
bir adımdır. Tüm bu sürecin her adımının
dokümante edilmesi ve tutanak tutulması
tavsiye edilir.
Uygulamada şirketlerin iç soruşturmalarını
yürüttükten sonra her zaman durumu yargıya intikal ettirmediklerini görüyoruz. Bu tecrübemiz ACFE 2016 Çalışan Suistimalleri ve
İstismar Raporu’ndaki bulgular ile de teyit
edilmiştir; örneğin şirketlerin %40.7’si ağırlıklı olarak repütasyonlarının etkilenmesinden
korktuğu için yolsuzluğu yargı organlarına
intikal ettirmemiştir. Ancak uygulamada, yargıya teslim edilmeyerek üstü örtülen usulsüzlüklerin ileride daha ciddi sorunlara yol açtığı
görülmektedir.
�������������������������������������������
irket soruşturmasına paralel veya bu soruşturma öncesinde veya sonrasında savcının da
kendi soruşturmasını yürütmesi ihtimal dahilindedir. Bu süreçte savcılık makamı, diğer
birçok aracın yanı sıra, şüpheli veya ilgili kişilerin e-maillerine ulaşmak ve bunları incelemek
isteyebilir. Ceza Muhakemesi Kanunu’nun
134. maddesinde (Bilgisayarlarda Arama ve
El Koyma), bilgisayarda önce yerince inceleme
(arama) yapılması, bu şekilde delil elde edilmesi mümkün olmazsa, (bilgisayar, bilgisayar
programları ve bilgisayar kütüklerine şifrenin
İÇ SORUŞTURMA
SIRASINDA
BILGISAYARDAN
VERI
TOPLANILMASINA
KARAR VERILIRSE,
BU SÜRECIN
ÇOK HASSAS
OLDUĞU VE
PROFESYONEL BIR
EKIP TARAFINDAN
YÜRÜTÜLMESI
GEREKTIĞI
BILINMELIDIR.
çözülememesinden dolayı girilememesi veya
gizlenmiş bilgilere ulaşılamaması halinde)
bilgisayarlara el konulması öngörülmektedir.
El konulan bilgisayarın (veya daha doğru bir
ifadeyle harddisk’in) kopyası alınıp, orijinali
derhal sahibine iade edilmelidir. Burada sadece “bilgisayar” dendiğine bakılmamalı, uygulamada her türlü elektronik araç üzerinde bu
tedbir uygulanmaktadır. Ayrıca Adli ve Önleme
Aramaları��������������������������������������
Yönetmeliği��������������������������
’nde de cloud gibi, bilgisayar ağları ve diğer uzak bilgisayar kütükleri
ile çıkarılabilir donanımları hakkında da bu
hükmün uygulanması mümkündür. Soruşturmada her türlü delil elde etme yönteminin uygulanması, ancak artık başka surette delil elde
etme imkanının bulunmaması gerekmektedir.
Bir başka deyişle, bilgisayarlarda arama ve el
koyma işleminin yapılması delil elde etme açısından son çare olmalıdır. Ne var ki uygulamada bu şart genelde atlanmakta ve bu konuda
çok fazla hak ihlali olmaktadır. 4
Dipnotlar
(1) Hash değeri: Dosyaların parmak izi de denilen
ve dosya üzerinde en küçük bir değişiklik yapıldığında baştan sona değişen, dolayısıyla yedeklenen
verilerin bütünlüğünü teminat almaya yarayan sayısal değerlerdir.
45