KVKK CEZALARI VE MÜŞTEREK SORUMLULUK
Genel Olarak
İstanbul 4. Asliye Ticaret Mahkemesinin 14.06.2023 tarihli 2022/100 E. 2023/534 K. sayılı ilamında, Kişisel Verileri Koruma Kurulunun (Kurul) 07.10.2021 tarihli 2021/1021 K. sayılı kararıyla veri sorumlusu aleyhine verilen 450.000 TL idari para cezası ele alınmıştır. Kararda, KVKK kapsamında veri sorumlusu ile veri işleyenin yükümlülükleri ve sorumluluk paylaşımı incelenmiştir.
Somut Olay
Davacı veri sorumlusu, mağazacılık faaliyeti yürüten bir şirkettir. Davalı veri işleyen e-ticaret entegrasyon hizmeti sunmakta ve davacıya ait e-ticaret sitesini yönetmektedir. Aralarındaki hizmet sözleşmesi Haziran 2020’de sona ermiştir. Sözleşmenin bitmesinden sonra davacı şirket, veri işleyenin sistemlerinden elde edilen 4.792 kişiye ait verilerin bir forum sitesinde satışa çıkarıldığını iddia ederek Kuruma veri ihlal bildiriminde bulunmuştur. Kurum, aynı tarihte başka veri sorumlularına ait müşteri verilerinin de aynı forumda satışa çıkarıldığını ve bu şirketlerin de davalı veri işleyenden hizmet aldığını tespit etmiştir. Dolayısıyla verilerin veri işleyenin sistemlerinden elde edildiğini kabul etmiştir. Ancak veri sorumlusu aleyhine sızma testleri yapmadığı, ihlalden önce testleri yaptırıp sonucunda bulunan zafiyetleri giderilmesi konusunda gayret göstermediği gerekçesiyle KVKK m. 12 gereği veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması yönünden KVKK m. 18/1-b uyarınca 450.000 TL idari para cezası uygulanmasına karar verilmiştir.
Veri sorumlusu rücuen tazminat davası açarak ifa edilen idari para cezasına kusurlu davranışı ile veri işleyenin sebebiyet verdiğini iddia etmiş ve yapılacak yargılama ve bilirkişi incelemesi ile ortaya çıkacak kusur oranında belirli hale gelecek olan tazminatın veri işleyenden tahsilini talep etmiştir. Buna karşılık davalı veri işleyen, müşterilerin kendi sitelerinde sızma testi yapma yükümlülüğü bulunmadığını; KVKK m.12 uyarınca veri sorumlusu olan davacının gerekli idari ve teknik önlemleri almadığını ve bu nedenle idari para cezası aldığını ileri sürmüştür.
İlgili Hukuk Uyarınca Sorumluluk
Veri sorumlusu KVKK m. 3/1-ı hükmüne göre “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”; veri işleyen ise KVKK m. 3/1-ğ’ye göre “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
KVKK m. 12 uyarınca veri güvenliği önlemlerini alma yükümlülüğü esasen veri sorumlusuna aittir. Bu yükümlülük kapsamında: (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlenmesi, (iii) kişisel verilerin muhafazasını sağlanması amacıyla her türlü teknik ve idari tedbirlerin alınması yer almaktadır. Ancak m. 12/2 gereği, kişisel veriler veri işleyen tarafından işleniyorsa veri sorumlusu ile veri işleyen müştereken sorumlu olacağı belirtilmiştir.
İdari para cezası hakkındaki düzenlemeler KVKK m.18’de yer almaktadır. İkinci fıkrada cezanın kime uygulanacağı konusunda ayrıma gidilmiştir. Buna göre aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükleri, Kurul tarafından verilen kararları yerine getirmeme ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hakaret etme eylemlerinin veri sorumlusu hakkında uygulanacağı belirtilmiştir. Buna karşılık, KVKK m. 9/5’te yer alan standart sözleşmenin Kuruma bildirilme yükümlülüğünün yerine getirilmemesi veri sorumlusu veya veri işleyen hakkında uygulanacaktır.
Sonuç olarak KVKK m.12 ve 18 beraber ele alındığında uygulamalarının farklı olacağı anlaşılmaktadır. Her ne kadar veri güvenliğine ilişkin ihlal olması durumunda müşterek sorumluluk gereği hem veri sorumlusu hem de veri işleyen sorumlu tutulabilecekse de KVKK m. 18’de bu yükümlülüğe aykırılıktan sadece veri sorumlusuna para cezası yükletilebileceği belirtilmiştir. Dolayısıyla Kurul tarafından veri işleyene karşı para cezası veremeyecektir. Buna karşılık, veri işleyenin bir eylem veya işlemi sebebiyle söz konusu yaptırımın oluşması halinde veri sorumlusunun veri işleyene rücu edebilmesi genel hükümlere göre yapılması mümkündür. Bu durumda KVKK özel nitelikli kanun olarak öncelikli şekilde uygulanacak ve KVKK m. 12 gereği müşterek sorumluluk tatbik edilebilecektir. Nitekim, İstanbul 4. Asliye Ticaret Mahkemesi önüne gelen dava bu yönden incelenmiştir.
Mahkemenin Esas Hakkında İncelemesi
İstanbul 4. Asliye Ticaret Mahkemesi, söz konusu uyuşmazlığı beş başlık altında incelemiştir:
1) Davalı şirketin taraflar arasındaki hizmet akdinin sonlanmasının ardından müşterilere ait kişisel verileri imha edip etmediği?
Mahkeme, öncelikle taraflar arasındaki hizmet ilişkisinin Haziran 2020’de sona erdiğini tespit etmiştir. Davalı veri sorumlusunun hizmet sözleşmesi bitmesiyle beraber meşru sebebin ortadan kalkacağı ve buna bağlı olarak herhangi bir talep beklemeksizin kişisel verilerin silinmesi gerektiğini belirtmiştir. Ancak somut olayda davalı buna ilişkin bir imha raporu sunmamıştır. Bununla birlikte mahkeme, davacı veri sorumlusunun da kişisel verilerin silinmesi ve diğer hususlarda veri işleyenin yükümlülüklerini yerine getirip getirmediğini kontrol etmesi gerektiğini eklemiştir.
2) İmha etmemiş olması halinde hukuki sonuçları?
Mahkeme, davalı ve davacının müşterilerine ait kişisel verileri sistem ve kayıtlardan silmediğini yinelemiştir. Kural olarak KVKK m. 12/1 gereği kişisel verilerin korunmasına ilişkin her türlü teknik ve idari tedbirleri alma yükümlülüğü, veri sorumlusuna yüklenmiştir. Ancak KVKK m. 12/2’de yer alan istisnada kişisel verilerin veri işleyen aracılığıyla işlenmesi halinde tedbirlerin alınması hususunda müşterek sorumluluğun varlığına dikkat çekmiştir.
Her ne kadar sızıntı gerçekleştiğine kişisel veriler davalının uhdesinde bulunsa da KVKK m. 7 gereği kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinden veri sorumlusu sıfatıyla davacının sorumlu olduğunu belirtmiştir. Veri işleyenle aralarındaki hizmet sözleşmesi sona erdiği tarihte müşteri verilerinin imhası için gerekli girişimlerde bulunması gerekirken bu girişimlere başvurmada gecikmiştir. Aynı zamanda veri işleyenin de hizmet sözleşmesi sona ermesinden sonra kişisel verileri silmemiştir. Dolayısıyla yükümlülüklerini yerine getirmemeleri sebebiyle hem veri sorumlusu hem de veri işleyenin KVKK m. 12/2 uyarınca müştereken sorumlu olduğu sonucuna varılmıştır.
3) Veri sızıntısına dayalı olarak davacı şirketin ödediği idari para cezasına davalı şirketin sebebiyet verip vermediği?
Mahkeme, idari para cezasının sadece veri sızıntısından kaynaklanmadığını belirtmiştir. Veri sorumlusunun KVKK m. 12/1’de yer alan yükümlülüklerini yerine getirmemesi tespitine dayanmaktadır. İdari para cezasına yol açan nedenlerin davacı ve davalının karşılıklı kusurlu eylem ve işlemlerinin sonucunda ortaya çıktığını belirtmiştir.
Söz konusu davacının müşterilerine ait kişisel verilerin satışa konulduğu İnternet ortamında aynı zamanda başka şirketlere ait müşterilerin de verilerin satıldığı ve bu şirketlerin de davalının altyapısını kullandığı tespit edilmiştir. Dolayısıyla gerçekleşen veri sızıntısına davalı veri işleyenin sebebiyet verdiği kanaatine varılmıştır. Ancak bu durum, veri sorumlusunun gerekli tedbirleri alma yükümlülüğünü bertaraf etmediği belirtilmiştir.
4) Sızma testlerinin davacı tarafça yaptırılması gerekip gerekmediği?
Mahkeme, taraflar arasındaki hizmet sözleşmesinin kısa ve detaysız olduğunu gözlemlemiştir. Veri güvenliğinin sağlanması bağlamında gerekli idari ve teknik önlemleri kim tarafından ve nasıl yapacağına ilişkin bir hüküm bulunmamaktadır. Dolayısıyla mahkeme, sözleşmenin konusu ve davalının verdiği hizmet kapsamında yorum yapmıştır. Davalı, e-ticaret entegrasyon hizmeti vermekte olup sözleşmenin konusu teknik ve teknolojik bir hizmet sunumuna ilişkindir. Bu sebeple davalının hizmet sunduğu sistemlerde kişisel verilerin hukuka aykırı olarak işlenmesi, yetkisiz erişilmesini önlemesi ve güvenli şekilde çalışmasını sağlama yönünde veri sorumlusuyla beraber kendisinin de sorumlu olduğunu tespit etmiştir.
Sızma testlerinin belirli aralıklarla gerçekleştirilmesi idari ve teknik anlamda alınması gereken önlemlerden biridir. Mahkeme, KVKK m. 12/2 kapsamında bu önlemi yerine getirme yükümlülüğünün hem veri sorumlusu hem de veri işleyene ait olduğu sonucuna varmıştır. Davacının sızma testini talep ve takip etmemesi, buna karşılık davalının sızma testlerini uygulayıp raporlamaması sebebiyle müştereken sorumlu olduğu belirtilmiştir.
5) Kusur oranları? Davalı kusurlu ise davacının talep edebileceği tazminat miktarının tayini?
Kusur oranları bakımından KVKK m. 12/2 ele alınmış ve kişisel verilerin güvenliğini sağlayamamanın sonuçları bakımından davacı veri sorumlusu ve davalı veri işleyen müştereken sorumlu oldukları sonucuna varılmıştır. Teknik olarak veri sorumlusu %50, veri işleyen %50 sorumlu olduğu, davacının talep ettiği rücuen tazminat miktarı da hükmedilen idari para cezası 450.000,00-TL’nin yarısı 167.750,00 TL şeklinde hesaplanmıştır.
Sonuç
Karar, KVKK m. 12 ve m. 18 hükümlerinin uygulamadaki ayrımını netleştirerek, veri güvenliği ihlallerinde idari para cezasının yalnızca veri sorumlusuna uygulanabileceğini, ancak ihlale veri işleyenin kusuruyla sebebiyet verilmesi hâlinde rücu hakkının kullanılabileceğini ortaya koymuştur. Uygulamada veri sorumluları, hizmet ilişkisi sona erdiğinde veri işleyenin elindeki tüm kişisel verilerin derhâl ve belgelenerek imha edilmesini talep ve denetlemek; veri işleyenler ise sözleşme sona erse dahi bu yükümlülüğü kendiliğinden yerine getirmek zorundadır. Ayrıca her iki tarafın da düzenli sızma testleri yaptırması, güvenlik açıklarını kapatması ve yükümlülükleri açıkça belirten ayrıntılı sözleşmeler akdetmesi, olası ihlallerin ve sorumluluk doğuracak durumların önüne geçmek açısından kritik önemdedir. Bu karar, teknik ve idari tedbirlerin yalnızca teorik bir zorunluluk değil, aynı zamanda ciddi mali ve hukuki sonuçlar doğuran bir yükümlülük olduğunu bir kez daha göstermektedir.
Av. Beste GÖDEN’in “THOMSON REUTERS v. ROSS INTELLIGENCE: YAPAY ZEKA ÜRETİMİNDE TELİF HAKKI VE ADİL KULLANIM” isimli yazısını bağlantıdan hemen okuyun.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.
Yazar: Av. Beste Göden
Kaynakça
İstanbul 4. Asliye Ticaret Mahkemesi 14.06.2023 2022/100 E. 2023/534 K. https://emsal.uyap.gov.tr/# (Erişim Tarihi: 12.02.2025).
Kişisel Verileri Koruma Kurulu 07.10.2021 2021/1021 K. https://www.kvkk.gov.tr/Icerik/7081/2021-1021 (Erişim Tarihi: 12.02.2025).
Deloitte. “Kişisel Verilerin Korunması mevzuatında Veri Sorumlusu – Veri İşleyen İlişkisi: Sorumluluğun Hukuki Kaynağı Meselesi” https://www.verginet.net/dtt/1/kisiler-verilerin-korunmasi-veri-sorumlusu-veri-isleyen-iliskisi.aspx (Erişim Tarihi: 12.02.2025).
