E-Ticaret Siteminde “Sistemsel Hata” ve Veri Güvenliği İhlali: 2018/91 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 26/07/2018 tarihli bu karar özetiyle, e-ticaret sitelerinde yaşanan ve “başka müşterinin bilgilerini görme” şeklinde tezahür eden teknik açıkların hukuki sonuçlarını belirlemiştir. Karar, veri sorumlularının ihlalden sonra aldıkları önlemlerin, ihlalden önceki tedbir eksikliğini gidermediğini vurgulamaktadır.
1. Olayın Özeti: “Sepette Başkasının Adresi Var”
Olay: Bir hazır giyim firmasının internet sitesinden alışveriş yapan bir müşteri (ilgili kişi), kendi üyelik panelinde veya ödeme adımında başka müşterilere ait ad, soyad, telefon ve teslimat adresi gibi kişisel bilgilerin görüntülendiğini fark etmiştir.
Müşteri, verilerinin sızdırılması nedeniyle şirkete başvurarak tüm verilerinin silinmesini ve başka kurumlara aktarıldıysa oralarda da yok edilmesini talep etmiş; ancak şirketten gelen “yetersiz” cevap üzerine Kurul’a şikayette bulunmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Önce Tedbir, Sonra Hizmet”
Kurul, inceleme neticesinde şu kritik saptamalarda bulunmuştur:
- Sistemsel Hata Savunması: Şirket, olayın sistemsel bir hatadan kaynaklandığını, durumdan şikayetle haberdar olduklarını ve derhal yeni bir uygulama sürümü çıkararak hatayı düzelttiklerini savunmuştur.
- Tedbirlerin Zamanlaması: Kurul, ihlal gerçekleştikten sonra alınan önlemlerin (güncelleme, sürüm çıkarma vb.) önemli olduğunu ancak asıl yükümlülüğün ihlal gerçekleşmeden önce uygun güvenlik düzeyini sağlamak olduğunu belirtmiştir.
- Teknik ve İdari Tedbir Eksikliği (Md. 12/1): Verilerin başka müşterilerce erişilebilir hale gelmesi, şirketin sistemini yayına almadan önce gerekli güvenlik testlerini (sızma testleri, kod denetimi vb.) yapmadığını ve veri güvenliği yükümlülüğünü yerine getirmediğini kanıtlamaktadır.
3. Karar Sonucu: İdari Para Cezası ve Talimat
Kurul inceleme sonucunda şu iki önemli kararı vermiştir:
- İdari Para Cezası: Kanun’un 12. maddesi kapsamında kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almayan Şirket hakkında KVKK Madde 18 uyarınca idari para cezası uygulanmasına,
- Bilgilendirme Talimatı: Şikayetçinin verilerinin silinmesi ve yok edilmesi talebiyle ilgili olarak yapılan işlemlerin, tevsik edici (ispatlayıcı) belgelerle birlikte 30 gün içinde şikayetçiye bildirilmesi hususunda Şirketin talimatlandırılmasına,karar verilmiştir.
4. Özgür Eralp Perspektifi: “Beta Sürümünde Veri Güvenliği Olmaz”
Bilişim hukuku alanındaki tecrübelerimizde, e-ticaret platformlarının “hızlıca yayına girelim, hata çıkarsa yolda düzeltiriz” (agile ama denetimsiz) yaklaşımının en büyük risk olduğunu görüyoruz. KVKK nezdinde “sistemsel bir hataydı, hemen düzelttik” demek, bir savunma değil, ihlalin ikrarıdır. Yazılımdaki bir mantık hatası nedeniyle bir müşterinin verisinin başkasına görünmesi, veri tabanı mimarisinde veya oturum (session) yönetiminde ciddi bir zafiyet olduğunu gösterir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: E-ticaret siteleri, “Canlı” (Live) ortama geçmeden önce mutlaka “Kişisel Veri Etki Analizi” yapmalı ve yük dengeleme veya önbellekleme (caching) sistemlerinin veri sızıntısına yol açmadığından emin olmalıdır. Kurul bu kararla, “Hatanın farkında olmamanız sizi kurtarmaz; farkında olmanızı sağlayacak sistemi kurmamanız sizi suçlu kılar” demiştir.
Sıkça Sorulan Sorular
1. İnternet sitesinde başkasının adres bilgilerini görürsem ne yapmalıyım?
Bu ciddi bir veri ihlalidir. Ekran görüntüsü alarak (ancak bu görüntüyü yaymadan) durumu hemen ilgili şirkete ve eş zamanlı olarak Kişisel Verileri Koruma Kurulu’na bildirmelisiniz.
2. Şirket “Hata oldu, düzelttik” derse tazminat hakkım ölür mü?
Hayır. Şirketin hatayı düzeltmesi idari sorumluluğunu azaltabilir ancak verilerinizin yetkisiz kişilerce görülmesi nedeniyle uğradığınız zarar için genel mahkemelerde maddi ve manevi tazminat davası açma hakkınız saklıdır.
3. Verilerimin silinmesini istediğimde şirket “Yasal süreler var” diyebilir mi?
Evet. Eğer mevzuat gereği (örneğin fatura saklama süresi) verilerinizin saklanması gerekiyorsa şirket tamamen silme yerine “arşivleme” yapabilir. Ancak bu kararda olduğu gibi, Kurul şirketin silme talebi karşısında ne yaptığını ispat etmesini isteyebilir.
4. E-ticaret siteleri bu tür hataları nasıl önler?
“Privacy by Design” (Tasarımda Gizlilik) ilkesi uyarınca, kod yazım aşamasından itibaren veri güvenliği testleri yapılmalı, oturumlar birbirinden kesin çizgilerle ayrılmalı ve düzenli sızma testleri gerçekleştirilmelidir.
5. Kurul neden para cezası verdi?
Çünkü Kanun, veri sorumlusuna “veriye erişimi engelleme” konusunda mutlak bir sorumluluk yükler. Erişimin sağlanmış olması, tedbirlerin yetersiz olduğunun karinesidir.
Kaynaklar
- KVKK Kurumu – 2018/91 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 7, 11, 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
Etiketler
KVKK, Veri Güvenliği, E-ticaret İhlali, Sistemsel Hata, Veri Erişimi, İdari Para Cezası, Teknik Tedbirler, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Kişisel Verilerin Silinmesi, İletişim Bilgileri İfşası
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),