Makale
E-ticaret platformlarında yaşanan veri ihlallerinin hukuki sonuçları, KVKK ve genel hükümler çerçevesinde incelenmektedir. Veri sorumlularının haksız fiil ve sözleşmeye aykırılıktan doğan tazminat sorumlulukları ile kişilik haklarını koruyucu davalar detaylandırılmıştır.
Kişisel Veri İhlallerinde Hukuki Sorumluluk ve Davalar
Elektronik ticaret hacminin artmasıyla birlikte, kişisel verilerin dijital ortama aktarılması kullanıcılara yönelik çeşitli riskleri de beraberinde getirmektedir. Kişisel verilerin hukuka aykırı işlenmesi veya siber saldırılar neticesinde veri güvenliğinin sağlanamaması, veri sorumlularının geniş çaplı hukuki yaptırımlarla karşılaşmasına neden olmaktadır. Veri ihlalleri, tüketicilerin sadece malvarlığı değerlerine zarar vermekle kalmayıp, aynı zamanda özel hayatın gizliliğini zedeleyerek manevi anlamda da telafisi güç yıkımlara yol açabilmektedir. Bu noktada, mağdur olan ilgili kişilerin zararlarının giderilmesi büyük önem taşır. Kişisel Verilerin Korunması Kanunu, ihlal durumunda mağdurlara idari yollara başvuru hakkı tanırken, meydana gelen zararların tazmini hususunda Türk Medeni Kanunu ve Türk Borçlar Kanunu gibi genel hükümlere atıf yapmaktadır. Dolayısıyla, veri sızıntılarından veya hukuka aykırı işlemelerden kaynaklanan uyuşmazlıklarda, veri sorumlusunun hukuki sorumluluğu, haksız fiil ve sözleşmeye aykırılık temellerine dayandırılarak ileri sürülebilmekte ve zararın kapsamına göre farklı hukuki yollar işletilebilmektedir.
KVKK Kapsamında Veri Sorumlusuna Başvuru ve Şikâyet
Kişisel verileri hukuka aykırı olarak işlenen veya korunamayan kişiler, ilk aşamada Kişisel Verilerin Korunması Kanunu kapsamında hak arama yoluna gidebilmektedir. Kanun’un 11. maddesi, ilgili kişilere veri sorumlusuna başvurarak verilerinin işlenip işlenmediğini öğrenme, amaca uygun kullanılıp kullanılmadığını denetleme ve verilerin silinmesini talep etme hakkı tanımaktadır. Veri sorumlusuna yapılan başvurunun reddedilmesi, yetersiz bulunması veya yasal süre içinde cevap verilmemesi halinde ise Kişisel Verileri Koruma Kuruluna şikâyet yoluna başvurulabilir. Kurul, yaptığı inceleme neticesinde bir ihlal tespit ederse, hukuka aykırılığın giderilmesine veya veri sorumlusuna idari para cezası uygulanmasına karar verebilmektedir. Ancak önemle vurgulamak gerekir ki, Kişisel Verileri Koruma Kurulu mağdurların tazminat taleplerini karara bağlama yetkisine sahip değildir. Kurul kararlarında da istikrarla belirtildiği üzere, veri ihlallerinden doğan maddi ve manevi tazminat taleplerinin genel mahkemeler huzurunda ileri sürülmesi yasal bir zorunluluktur.
Haksız Fiil Hükümlerine Dayalı Hukuki Sorumluluk
Veri sorumlusunun, veri güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirleri almaması sonucu verilerin üçüncü kişilerin eline geçmesi, Türk Borçlar Kanunu bağlamında bir haksız fiil sorumluluğu doğurmaktadır. Haksız fiil sorumluluğunun oluşabilmesi için hukuka aykırı fiil, kusur, zarar ve illiyet bağı unsurlarının birlikte gerçekleşmesi aranır. Kişisel verilerin korunması doğrudan kişilik hakkının korunması ile ilişkili olduğundan, veri ihlalleri kişilik haklarına yapılmış hukuka aykırı bir saldırı niteliği taşır. Doktrinde veri sorumlusunun kusurunun, bir özen yükümlülüğünün ihlali olarak değerlendirilmesi gerektiği ve sorumluluktan kurtulmak için veri sorumlusunun her türlü idari ve teknik tedbiri aldığını ispatlamakla yükümlü olduğu ifade edilmektedir. Meydana gelen siber saldırılarda üçüncü kişilerin eylemlerinin illiyet bağını kesip kesmeyeceği hususu tartışılsa da, veri sorumlusunun baştan gerekli önlemleri almaması asıl zarara yol açan sebep olarak görülmekte ve bu durum illiyet bağını kesmeyen bir etken olarak kabul edilmektedir.
Maddi ve Manevi Tazminat Davaları ile Talepler
Kişisel verisi ihlal edilen tüketiciler, uğradıkları zararların giderilmesi için yargı organlarına başvurarak çeşitli dava yollarını işletebilirler. Kimlik ve kredi kartı gibi hassas ödeme verilerinin ele geçirilerek haksız harcamalar yapılması doğrudan malvarlığında eksilmeye yol açtığından, mağdurlar zararın giderilmesi için maddi tazminat davası açabilmektedir. Öte yandan, itibar kaybı, özel hayatın gizliliğinin zedelenmesi ve ruhsal çöküntü gibi olumsuzluklar nedeniyle Türk Medeni Kanunu ve Türk Borçlar Kanunu uyarınca manevi tazminat davası ikame edilmesi mümkündür. Ayrıca, hukuka aykırı yollarla elde edilen verilerin satılması veya pazarlama amacıyla kullanılarak menfaat sağlanması halinde, ilgili kişi gerçek olmayan vekâletsiz iş görme hükümlerine dayanarak elde edilen haksız kazancın kendisine devrini talep edebilir. Haksız fiillere dayalı bu tazminat davalarında, mağdurun zararı ve faili öğrenmesinden itibaren iki yıl, her halde on yıl olan haksız fiil zamanaşımı süresi uygulanır. Ancak ihlale neden olan eylem aynı zamanda Türk Ceza Kanunu kapsamında daha uzun zamanaşımı öngörülen bir suç teşkil ediyorsa, uzamış ceza zamanaşımı dikkate alınır.
Kişilik Hakkını Koruyucu Davalar
Tazminat taleplerinin yanı sıra, Türk Medeni Kanunu'nun 24. ve 25. maddelerinde düzenlenen ve doğrudan kişilik haklarını güvence altına alan koruyucu davalar da veri ihlallerinde uygulama alanı bulmaktadır. Bu davaların açılabilmesi için veri sorumlusunun kusuru veya bir zararın doğmuş olması şartı aranmaz, yalnızca hukuka aykırı saldırının varlığı yeterlidir. Mağdurlar, kişilik haklarını korumak amacıyla şu davaları açabilmektedir:
- Veri sızıntısı veya hukuka aykırı işlemenin kuvvetle muhtemel olduğu durumlarda saldırı tehlikesinin önlenmesi davası.
- Hukuka aykırı veri aktarımının veya işlemenin halihazırda devam etmesi halinde saldırıya son verilmesi davası.
- Saldırı sona ermiş olsa dahi, olumsuz etkilerinin devam ettiği durumlarda saldırının hukuka aykırılığının tespiti davası.
Kişisel verilerin ihlali neticesinde açılacak bu davalarla birlikte, verilen mahkeme kararının üçüncü kişilere bildirilmesi veya kamuoyuna ilan edilerek yayımlanması da talep edilebilir. Böylelikle veri sahibinin zedelenen itibarı ve özel hayatın gizliliği hakkı daha etkin bir biçimde koruma altına alınmış olur.
Sözleşme İlişkisinden Doğan Hukuki Sorumluluk
Elektronik ticaret platformları ile tüketiciler arasında kurulan mesafeli sözleşmeler, mal ve hizmet tesliminin yanı sıra kişisel verilerin korunması taahhüdünü de içermektedir. Veri sorumlusu olan e-ticaret işletmesi, edimini yerine getirirken aldığı kimlik, adres ve ödeme bilgilerini sözleşmede belirtilen amaçlar dışında kullanamaz ve üçüncü kişilerle izinsiz paylaşamaz. Sistemin yeterli güvenlik önlemleriyle donatılmaması nedeniyle verilerin çalınması, asli edimlerin ifasına yardımcı olan yan yükümlülüklerin ihlali anlamına gelir. Bu durumda borçlu, Türk Borçlar Kanunu’nun 112. maddesi kapsamında sözleşmeye aykırılık nedeniyle sorumlu tutulur. Sözleşmeden doğan sorumluluğun mağdur açısından en önemli avantajı, veri sorumlusunun kusursuzluğunu ispat yükü altında olmasıdır. Ayrıca sözleşmeye aykırılık hallerinde tazminat talepleri için on yıllık sözleşme zamanaşımı süresi uygulanır. Bir veri ihlalinin aynı anda hem haksız fiil hem de sözleşmeye aykırılık teşkil ettiği hallerde, mağdur, kendisine ispat yükü ve zamanaşımı bakımından en elverişli olan sözleşme hukuku hükümlerine dayanarak hakkını arama kolaylığına sahiptir.