Oyun Sektöründe Dev Veri Sızıntısı: Şirkete 1,1 Milyon TL Ceza (Karar: 2020/286)
Kişisel Verileri Koruma Kurulu (Kurul), 16/04/2020 tarihli bu kararıyla, dijital eğlence ve oyun sektöründeki veri güvenliği standartlarının “sadece bir oyun” olmadığını tescil etmiştir. Karar, hacker saldırılarının bir “kader” olmadığını, bu saldırıları önleyecek teknik donanımı ihlalden sonra değil, önce kurmanın yasal bir zorunluluk olduğunu vurgulamaktadır.
1. Olayın Özeti: Bulut Sistemine Hacker Sızması
Olay: Küresel ölçekte faaliyet gösteren bir oyun şirketinin bulut sistemlerine, hackerlar tarafından iki farklı kanaldan yetkisiz erişim sağlanmıştır. Hackerlar, muhtemelen başka sızıntılardan elde ettikleri kimlik bilgilerini kullanarak (credential stuffing) sistemlere girmiş ve binlerce oyuncunun verisini ele geçirmiştir.
İhlalin Detayları:
- Etkilenen Kişi Sayısı: Türkiye’de yerleşik 39.995 oyuncu.
- Sızan Veriler: İsim, soyisim, posta kodu, şehir, doğum tarihi, e-posta, fotoğraf, kullanıcı adı, şifre, telefon numarası ve Facebook tanımlayıcıları.
- Sonuç: Hackerlar oyuncu giriş bilgilerini değiştirerek hesapları ele geçirmişlerdir.
2. Kurulun Hukuki Değerlendirmesi: “Sonradan Alınan Tedbir Geçersizdir”
Kurul, şirketin bildirimini ve savunmasını teknik bir bakış açısıyla analiz ederek şu sonuçlara varmıştır:
A. Zafiyet Testlerinin Yetersizliği
Saldırganların bulut sistemine bu kadar kolay erişebilmesi, şirketin düzenli olarak yapması gereken sızma testleri (pentest) ve zafiyet taramalarının yetersiz olduğunun en büyük kanıtıdır.
B. “İhlal Sonrası” Tedbirler İhmali Kanıtlar
Şirket, ihlal yaşandıktan sonra; kötü niyetli IP’leri engellediğini, 7/24 gözetleme sistemini kurduğunu ve güvenlik ajanlarını ağa yerleştirdiğini beyan etmiştir.
- Kurulun Tepkisi: Bu önlemlerin ancak bir felaket yaşandıktan sonra alınmış olması, veri sorumlusunun “ihlal öncesinde” gerekli teknik ve idari tedbirleri (Md. 12) almadığının somut bir göstergesidir.
C. Bildirim Süresinin Aşılması
Veri sorumlusu, ihlali öğrendiği andan itibaren Kurul’un belirlediği 72 saatlik (en kısa sürede) bildirim süresine uymamıştır.
3. Karar Sonucu: Toplam 1.100.000 TL İdari Para Cezası
Kurul, ihlalden etkilenen kişi sayısının yüksekliği ve teknik ihmallerin ağırlığını göz önüne alarak şu cezaları vermiştir:
- Veri Güvenliği Yükümlülüğü (Md. 12/1): Gerekli teknik tedbirleri ihlal öncesinde almadığı için 1.000.000 TL,
- Geç Bildirim (Md. 12/5): 72 saat kuralına uymadığı için 100.000 TL,olmak üzere toplamda 1.100.000 TL (2020 yılı değerleri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Oyun Bitti, Hukuk Başladı”
Bilişim hukuku alanındaki tecrübemizde, oyun şirketlerinin kullanıcı deneyimine ve hıza odaklanırken arka plandaki siber güvenlik mimarisini bazen “ikinci plana” attığını görüyoruz. Ancak bu karar, 40 bine yakın vatandaşın kimlik ve lokasyon bilgisinin çalınmasının bedelinin ağır olduğunu gösteriyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bulut (Cloud) sistemleri kullanmak sorumluluğu bulut sağlayıcısına devretmek değildir. Şirketler, 7/24 izleme ve alarm sistemlerini (SIEM/SOC) “bir gün saldırıya uğrarsak” diye değil, “sürekli saldırı altındaymış gibi” kurgulamalıdır. Ayrıca, Facebook tanımlayıcısı gibi verilerin sızması, ihlalin diğer platformlara sıçrama riskini (cross-platform risk) artırdığı için Kurul nezdinde ceza miktarını en üst sınıra taşımaktadır.
Sıkça Sorulan Sorular
1. Oynadığım bir oyunda veri sızıntısı olduğunu nasıl anlarım?
Şirket, Kanun gereği etkilenen kullanıcılara e-posta yoluyla veya web sitesinden bildirim yapmalıdır. Ayrıca, hesabınıza giriş yapamıyorsanız veya bilginiz dışında işlemler yapılıyorsa bu bir sızıntı işaretidir.
2. Oyun hesabım çalındıysa şirket bana tazminat öder mi?
Kurul’un kestiği ceza devlete ödenir. Ancak Kurul’un bu ihlal kararı, sizin genel mahkemelerde (Tüketici Mahkemesi vb.) açacağınız maddi ve manevi tazminat davasında en güçlü deliliniz olur.
3. “72 Saat Kuralı” neden önemlidir?
Oyun şifreleri genellikle diğer sosyal medya veya e-posta şifreleriyle aynıdır. Şirket ihlali ne kadar hızlı bildirirse, kullanıcılar da o kadar hızlı şifre değiştirerek diğer hesaplarını kurtarabilirler.
4. 1,1 Milyon TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu ceza, günümüzde (2026) on milyonlarca liralık devasa bir yaptırıma ve şirketin lisans/itibar süreçlerini etkileyecek bir seviyeye ulaşmıştır.
5. Şirket “Hackerlar çok güçlüydü, engelleyemedik” diyebilir mi?
Kurul bu savunmayı kabul etmez. Şirketin görevi, “mevcut teknolojiye uygun” en üst düzey korumayı sağlamaktır. Zafiyet testi yapmamak veya 7/24 izleme kurmamak doğrudan “ihmal” sayılır.
Kaynaklar
- KVKK Kurumu – 2020/286 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12, 18)
- Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı İlke Kararı (72 Saat Bildirimi)
Etiketler
KVKK, Oyun Şirketi İhlali, Bulut Sistemi Güvenliği, Hacker Saldırısı, Veri İhlal Bildirimi, 72 Saat Kuralı, İdari Para Cezası, 2020/286 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Siber Güvenlik Tedbirleri, Zafiyet Testi
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),