Olay Özeti

Popüler bir e-ticaret platformu olan “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com”, sunucularına yönelik sofistike bir siber saldırıya uğrar. Saldırı sonucunda, yaklaşık 500.000 müşterinin adı, soyadı, e-posta adresi, telefon numarası ve adres bilgilerinin bulunduğu veri tabanı hackerlar tarafından ele geçirilir.

Şirketin IT departmanı, sızıntıyı 10 Mayıs günü sabah 09:00’da tespit eder ve sistem açıklarını kapatır. Durum derhal CEO’ya bildirilir. CEO, o hafta sonu başlayacak olan “Büyük Bahar İndirimi” kampanyasını olumsuz etkileyeceği ve şirketin itibarının zedeleneceği korkusuyla, IT departmanına ve hukuk birimine “Bu olayı dışarıya sızdırmayın, durumu sessizce düzeltin, KVKK’ya bildirim yapmayın” talimatını verir.

Aradan iki hafta geçer. Bir teknoloji gazetecisi, “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” müşterilerine ait veri tabanının bir hacker forumunda satışa çıkarıldığını fark eder ve konuyu haberleştirir. Haber, sosyal medyada hızla yayılır ve binlerce müşteri panik yaşar. Haberlerin yayılması üzerine Kişisel Verileri Koruma Kurumu (Kurum), olayı resen (kendiliğinden) incelemeye alır.

Hukuki Değerlendirme

Bu vaka, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) en ağır ihlallerinden birini oluşturmaktadır. Şirket (veri sorumlusu), bu olayda iki temel yükümlülüğü ağır bir şekilde ihlal etmiştir:

1. Veri Güvenliğini Sağlama Yükümlülüğünün İhlali (KVKK Madde 12/1)

Öncelikle, siber saldırının gerçekleşmiş olması, şirketin verileri korumak için gerekli “teknik ve idari tedbirleri” almakta zafiyet göstermiş olabileceğini gösterir. Kurum, şirketin güvenlik duvarı, şifreleme politikaları ve sızma testleri gibi önlemlerinin yeterli olup olmadığını inceleyecektir.

2. Veri İhlalini Bildirme Yükümlülüğünün İhlali (KVKK Madde 12/5)

En kritik ve ağır ihlal budur. KVKK Madde 12/5, veri sorumlusuna net bir yükümlülük getirir:

  • Kurum’a Bildirim: İşlenen kişisel verilerin kanuna aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu (şirket) bu durumu öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmek zorundadır.
  • İlgili Kişilere Bildirim: Şirket, ihlalden etkilenen kişilere (müşterilere) de “makul olan en kısa sürede” doğrudan bildirimde bulunmalıdır.

“https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” yönetimi, ihlali 10 Mayıs 09:00’da öğrenmesine rağmen, 72 saatlik yasal süreyi kasten ihlal etmiş ve hiçbir bildirim yapmamıştır.

Hukuki Sonuç

Kurum’un resen başlattığı inceleme sonucunda “https://www.google.com/search?q=H%C4%B1zl%C4%B1Al.com” çok ağır yaptırımlarla karşı karşıya kalacaktır:

  1. Ağır İdari Para Cezası:
    • Kurum, veri güvenliği tedbirlerindeki (Madde 12/1) eksiklikler için yüksek bir idari para cezası kesecektir.
    • Bundan da önemlisi, 72 saat içinde bildirim yükümlülüğünü (Madde 12/5) yerine getirmediği için çok daha yüksek (milyonlarca TL’ye varabilen) ayrı bir idari para cezası daha kesecektir. Kurul, “bildirim yapmamayı” en ağır ihlallerden biri olarak görmektedir.
  2. Mağdurların Tazminat Davaları:

    Verileri sızdırılan 500.000 müşterinin her biri, kişisel verilerinin korunmamasından ve bu sızıntıdan haberdar edilmemelerinden dolayı yaşadıkları endişe, panik ve potansiyel zararlar nedeniyle şirkete karşı manevi tazminat davası açma hakkına sahip olacaktır. Bu durum, şirket için kitlesel bir dava yükü anlamına gelir.

  3. İtibar Kaybı:

    Sızıntıyı gizlemeye çalışmak ve bu durumun haberler yoluyla ortaya çıkması, şirketin “güvenilmez” olarak damgalanmasına ve müşterilerini kitlesel olarak kaybetmesine neden olacaktır.

Sonuç ve Tavsiye

Bu vaka, bir veri ihlali durumunda “krizi gizlemenin”, krizin kendisinden çok daha yıkıcı olduğunu göstermektedir. Bir veri sızıntısı fark edildiği anda “72 saatlik” geri sayım başlar. Şirket yönetiminin yapması gereken ilk şey, paniğe kapılmak veya gizlemeye çalışmak değil, derhal hukuk departmanını ve KVKK danışmanlarını bilgilendirerek Kurum’a yapılacak resmi bildirimi hazırlamaktır. Şeffaflık ve yasalara uyum, uzun vadede itibarı korumanın tek yoludur.