Makale

Elektronik ticaretin hızla gelişmesi, bireylerin platformlarla paylaştığı verilerin hacmini ve ticari değerini artırmıştır. Ancak bu durum, kişisel veri ihlali riskini de beraberinde getirmektedir. Kişisel verilerin korunması hukukunun temel amacı, ilgili kişinin temel hak ve özgürlüklerini güvence altına almaktır. Bu korumanın sağlanabilmesi, veri işleme faaliyetlerinden doğan ihlallere karşı işletilecek yaptırım ve sorumluluk mekanizmalarının doğru anlaşılmasına bağlıdır. Elektronik ticaret işlemlerinde veri sorumlusu konumunda olan platformların veya aracı hizmet sağlayıcıların, hukuka aykırı veri işleme eylemleri neticesinde kullanıcıların zarara uğraması ihtimali mevcuttur. Meydana gelen ihlaller sonucunda, veri sorumluları hukuki sorumluluklarına istinaden maddi ve manevi tazminat talepleriyle karşı karşıya kalabilmektedir. Ayrıca Kanun kapsamında idari yaptırımlara ve Türk Ceza Kanunu çerçevesinde cezai sorumluluklara da tabi tutulmaktadırlar. Bu makalede, e-ticaret platformlarında gerçekleşen veri ihlallerinin hukuki sonuçları, açılabilecek davalar ve uygulanan yaptırımlar incelenmektedir.

Hukuki Sorumluluk ve Açılabilecek Davalar

Kişisel verilerin işlenmesinden doğan hukuki sorumluluk, taraflar arasındaki sözleşme ilişkisine dayanabileceği gibi, sözleşmeye bağlı olmayan haksız fiil sorumluluğu kapsamında da değerlendirilebilir. Elektronik ticaret faaliyetlerinin temelinde alıcı ile e-ticaret platformu arasında kurulan akdi bir ilişki yer alır. Bu nedenle, verilerin hukuka aykırı olarak ifşa edilmesi veya güvenliğinin sağlanamaması, öncelikle sözleşmeye aykırılık teşkil eder. Bununla birlikte, kişisel verilerin korunması bir kişilik hakkı olduğundan, bu hakka yönelik her türlü saldırı aynı zamanda haksız fiil niteliğindedir. Uygulamada, haksız fiil ve sözleşmeden doğan sorumluluğun yarışması söz konusudur. Zarara uğrayan ilgili kişi, ispat kolaylığı açısından genellikle sözleşmeden doğan sorumluluğa dayanarak haklarını arayabilir. Özellikle siber saldırılar sonucu yaşanan veri sızıntılarında, veri sorumlusunun gerekli teknik ve idari tedbirleri almamış olması, illiyet bağının kurulmasına ve kusur sorumluluğunun doğmasına zemin hazırlamaktadır.

Maddi ve Manevi Tazminat Talepleri

Elektronik ticaret platformlarında yaşanan veri ihlalleri neticesinde zarara uğrayan kullanıcılar, maddi tazminat davası ve manevi tazminat davası açma hakkına sahiptir. Maddi tazminat, haksız fiil veya sözleşmeye aykırılık sebebiyle ilgili kişinin malvarlığında iradesi dışında gerçekleşen azalmanın giderilmesini hedefler. Örneğin, şifresi ele geçirilip banka hesabından işlem yapılan bir kullanıcının uğradığı ekonomik kayıp bu kapsamdadır. Öte yandan, manevi tazminat, kişilik haklarına yapılan saldırı dolayısıyla bireyin duyduğu üzüntü, elem ve kederin telafisi için talep edilir. Kişisel verilerin hukuka aykırı şekilde işlenmesi veya sızdırılması bizzat kişilik hakkı zedelenmesi olduğundan, doğrudan manevi tazminat talebine dayanak oluşturur. Hâkim, her iki tazminat türünde de somut olayın özelliklerini, kusurun ağırlığını ve hakkaniyet ilkesini dikkate alarak uygun bir tazminat miktarı belirler. Ayrıca, zarar görenin kusuru veya rızası gibi hallerde tazminat miktarında indirim yapılabilmektedir.

Kişilik Haklarını Korumaya Yönelik Diğer Davalar

Tazminat taleplerinin yanı sıra, Türk Medeni Kanunu kapsamında kişisel verilerin korunmasına hizmet eden farklı dava yolları da mevcuttur. Henüz başlamamış ancak ciddi ve yakın bir tehlike arz eden ihlallere karşı saldırının önlenmesi davası açılabilir. Örneğin, bir e-ticaret sitesinin elindeki müşteri verilerini üçüncü kişilere satacağını duyurması halinde bu yola başvurulabilir. Hukuka aykırı fiilin hali hazırda devam ettiği durumlarda ise saldırının durdurulması davası gündeme gelir. Bu dava ile süregelen ihlallere hukuken son verilmesi amaçlanır. Son olarak, saldırı sona ermiş olmakla birlikte etkileri hala devam ediyorsa, ilgili kişi saldırının hukuka aykırılığının tespiti davası açabilir. Bu dava genellikle kişisel verilerin silinip silinmediğinin veya yasal prosedürlere uyulup uyulmadığının mahkeme kararıyla kesin tespiti amacıyla kullanılmaktadır.

İdari ve Cezai Yaptırımlar

Kişisel Verileri Koruma Kurulu, elektronik ticaret platformlarının mevzuata uyumunu denetlemekte ve tespit ettiği ihlaller karşısında idari yaptırım mekanizmasını işletmektedir. Kanun kapsamında veri sorumlularının aydınlatma yükümlülüğünü ihlal etmesi, veri güvenliğine ilişkin gerekli tedbirleri almaması veya Kurul kararlarına uymaması durumunda ağır idari para cezaları uygulanmaktadır. Özellikle milyonlarca kullanıcıyı etkileyen veri sızıntılarında, sızma testleri yapılmasına rağmen risklerin giderilmemesi veya sızıntının geç fark edilmesi gibi ciddi ihmaller, veri sorumlusuna yüksek tutarlı para cezaları kesilmesine sebep olmaktadır. İdari para cezalarının yanında, Kurul tarafından şirketlerin veri işleme pratiklerini mevzuata uygun hale getirmeleri için talimatlandırma kararları da sıkça verilmektedir.

İdari yaptırımların ötesinde, hukuka aykırı kişisel veri ihlalleri Türk Ceza Kanunu çerçevesinde doğrudan cezai sorumluluk da doğurmaktadır. E-ticaret platformları üzerinden hukuka aykırı biçimde kişisel verilerin işlenmesi, ifşa edilmesi veya yasal süreler sonunda silinmemesi, ilgililerin hapis cezası ile karşı karşıya kalmasına neden olabilir. Özel nitelikli kişisel verilerin, örneğin sağlık veya cinsel hayata ilişkin verilerin ele geçirilmesi, suçun nitelikli hali sayılarak çok daha ağır yaptırımları beraberinde getirmektedir. Teknolojinin sağladığı imkanlar sebebiyle eylemin çok basit bir şekilde yapılabilmesi, suçun ve cezanın oluşmasını engellememektedir. Veri sorumlusunun idari veya cezai anlamdaki bu çok yönlü sorumluluğu, elektronik ticaret sektöründe veri güvenliği tedbirlerinin eksiksiz ve sürdürülebilir bir şekilde uygulanmasını zorunlu kılmaktadır.