Anasayfa/ Makale/ Veri İhlallerinde Hukuki Sorumluluk ve Tazminat

Veri İhlallerinde Hukuki Sorumluluk ve Tazminat

Elektronik ticarette kişisel verilerin hukuka aykırı işlenmesi veya veri güvenliği ihlalleri, tüketicilerin kişisel haklarını ve malvarlığı değerlerini zarara uğratmaktadır. Bu makalede, KVKK ve genel hükümler çerçevesinde veri sorumlusunun hukuki sorumluluğu, tazminat talepleri ve başvurulabilecek hukuki yollar incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
HUKUKA AYKIRILIK KVKK TAZMİNAT MANEVİ TAZMİNAT USUL HUKUKU MADDİ TAZMİNAT

Elektronik ticaretin yaygınlaşmasıyla birlikte kişisel verilerin dijital ortama aktarımı, veri ihlali risklerini önemli ölçüde artırmıştır. Tüketicilerin paylaştığı kimlik, iletişim ve ödeme verilerinin hukuka aykırı bir şekilde işlenmesi veya siber saldırılar neticesinde yetkisiz kişilerin eline geçmesi, telafisi güç zararlara yol açabilmektedir. Bu noktada, kişisel verilerin ihlali durumunda veri sorumlularının üstlendiği hukuki sorumluluk, hem 6698 sayılı Kişisel Verilerin Korunması Kanunu hem de Türk Medeni Kanunu ile Türk Borçlar Kanunu gibi genel hükümler çerçevesinde değerlendirilmelidir. Veri ihlallerinden kaynaklanan zararların tazmini, mağdurların hak arama hürriyetinin temelini oluştururken, veri sorumlularının da yasal yükümlülüklerine sıkı sıkıya uymasını gerektiren bir yaptırım mekanizması olarak işlev görür. İlgili kişiler, uğradıkları malvarlığı eksilmeleri veya manevi çöküntüler nedeniyle yargı yoluna başvurarak haklarını arayabilmekte ve tazminat talebi ile zararlarının giderilmesini isteyebilmektedir. İhlalin niteliğine göre değişen bu hukuki yollar, tüketicilerin dijital dünyadaki en büyük yasal güvencesini teşkil etmektedir.

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri ve Başvuru Yolları

Kişisel verilerin hukuka aykırı olarak işlenmesi veya veri güvenliğinin sağlanamaması durumunda, ilgili kişilerin ilgili yasal mevzuat kapsamında oldukça geniş hakları bulunmaktadır. İlgili kişiler, kişisel verilerin işlenme amacını öğrenme, eksik verilerin düzeltilmesini veya silinmesini isteme ve zararın giderilmesini talep etme haklarına sahiptir. Bu hakların kullanılabilmesi için hukuki süreçte öncelikle veri sorumlusuna başvuru yapılması zorunludur. Veri sorumlusundan tatmin edici bir yanıt alınamaması, yasal sürede cevap verilmemesi veya başvurunun reddedilmesi hallerinde Kişisel Verileri Koruma Kurulu bünyesinde şikâyet süreci başlatılabilir. Ancak unutulmamalıdır ki, Kurul yalnızca idari para cezası ve ihlalin durdurulması gibi idari nitelikteki yaptırımlara karar verebilmektedir. Kurulun mağdurlara doğrudan tazminat ödenmesine hükmetme yetkisi bulunmadığından, veri ihlali sebebiyle doğan somut zararların giderilmesi ve tazminat hakkı için genel hükümler çerçevesinde adli yargı mercilerine başvurulması gerekmektedir.

Haksız Fiil Hükümlerine Göre Sorumluluk ve Şartları

Sözleşme dışı gerçekleşen veri ihlallerinde, örneğin siber saldırılar sonucu verilerin sızdırılması veya yetkisiz paylaşılması durumunda, Türk Borçlar Kanunu’nun genel hükümleri gereğince haksız fiil sorumluluğu gündeme gelmektedir. Bu sorumluluğun doğabilmesi için ortada hukuka aykırı bir fiilin, kusurun, zararın ve fiil ile zarar arasında uygun bir illiyet bağının bulunması kesin bir şarttır. Kişisel veriler bakımından hukuka aykırılık, kişilerin temel haklarını ve mahremiyetini koruyan emredici kuralların ihlali anlamına gelmektedir. Doktrinde veri sorumlusunun tabi olduğu sorumluluk türü tartışmalı olmakla birlikte, ağırlıklı görüş bunun ağır bir özen yükümlülüğü içerdiği yönündedir. Veri sorumlusu, kişisel veri güvenliği için gerekli olan tüm idari ve teknik tedbirleri eksiksiz bir şekilde aldığını ispatlayarak sorumluluktan kurtulmaya çalışabilir. Aksi takdirde, elde ettiği verileri koruyamamaktan doğan tüm maddi ve manevi zararlardan tüketiciye karşı doğrudan sorumlu tutulacaktır.

Maddi ve Manevi Tazminat Talepleri ile İlgili Davalar

Veri ihlalleri neticesinde mağdurların malvarlığında meydana gelen hesaplanabilir somut eksilmeler, maddi tazminat davası yoluyla giderilmektedir. Örneğin, ödeme bilgilerinin sızdırılmasıyla yapılan haksız harcamalar veya banka hesaplarının boşaltılması bu kapsamda değerlendirilir. Diğer taraftan, kişisel verilerin ifşa edilmesi sebebiyle kişinin duyduğu derin elem, üzüntü ve ticari ya da şahsi itibar kaybı gibi kişilik haklarına yönelik manevi zedelenmeler için doğrudan manevi tazminat talep edilebilmektedir. Mahkemeler manevi tazminat miktarını belirlerken, olayın oluş biçimini, kusurun ağırlığını ve mağdurda yarattığı psikolojik etkiyi göz önünde bulundurarak hakkaniyete uygun spesifik bir karara varır. Ayrıca, veri sorumlusunun hukuka aykırı bir şekilde tüketici profillerini reklam şirketlerine satarak gelir elde etmesi halinde, ilgili kişi bu kazancın gerçek olmayan vekâletsiz iş görme hükümleri çerçevesinde tamamen kendisine iade edilmesini talep edebilme hakkına da yasal olarak sahiptir.

Sözleşmeye Aykırılık Bağlamında Hukuki Sorumluluk

Elektronik ticaret platformları ile tüketiciler arasında olağan yollarla kurulan mesafeli elektronik sözleşmeler, mal veya hizmet temininin yanı sıra karşı tarafın kişisel verilerinin korunmasına dair çok net ve gizli bir taahhüdü de barındırmaktadır. Veri sorumlusunun aydınlatma metninde belirtilen amaçlar sınırını aşarak farklı amaçlarla veri işlemesi veya veri güvenliğini teknik olarak sağlayamayarak verilerin sızdırılmasına yol açması, kanunlar uyarınca açık bir sözleşmeye aykırılık teşkil etmektedir. Bu ihlal senaryosunda veri sorumlusu, kendisine hiçbir kusur yüklenemeyeceğini somut delillerle açıkça ispat etmedikçe doğan bütün zararları karşılamakla yükümlü hale gelir. Sözleşme ilişkisine dayanarak mahkemelerde açılacak davalar, haksız fiil temelindeki davalara kıyasla mağdurlar açısından hukuken çok daha avantajlıdır. Zira haksız fiillerde zarar ve failin öğrenilmesinden itibaren başlayan iki yıllık görece kısa bir zamanaşımı süresi bulunurken, sözleşmeye aykırılıktan doğan tazminat taleplerinde zamanaşımı süresi kural olarak on yıl şeklinde uygulanmakta ve tüketiciye hakkını arama noktasında oldukça geniş bir zaman dilimi tanınmaktadır.

Kişilik Hakkını Koruyucu Davalar

Tazminat davalarına ek olarak, Türk Medeni Kanunu'nun ilgili maddeleri uyarınca, kişilik hakları ihlali niteliğindeki her türlü veri sızıntısına veya hukuka aykırı işleme faaliyetine karşı çeşitli koruyucu davalar da kolaylıkla açılabilmektedir. Bu özel davaların temel amacı zararın ekonomik olarak tazmini değil, doğrudan devam eden veya muhtemel hukuka aykırılığın önüne geçilmesi, eylemin sonlandırılması veya resmi olarak tespit edilmesidir. Kusur veya somut bir malvarlığı zararı şartı aranmaksızın açılabilen bu davalarla birlikte, mahkeme kararlarının ilgisi bulunan üçüncü kişilere bildirilmesi veya kamuoyuna açık şekilde yayımlanması da ayrıca istenebilir. Bu davalar kişisel verilerin yasal düzlemde korunmasında oldukça proaktif ve caydırıcı hukuki enstrümanlar olarak öne çıkmaktadır. E-ticaret platformlarında yaşanan veri ihlallerine karşı kullanılabilecek başlıca koruyucu davalar şunlardır:

  • Saldırının önlenmesi davası: Verilerin hukuka aykırı şekilde işleneceğine veya sızdırılacağına dair çok ciddi ve yakın bir tehlikenin varlığı tespit edildiğinde bu tehlikenin derhal önüne geçmek için açılır.
  • Saldırıya son verilmesi davası: Hukuka aykırı veri işleme faaliyetinin veya yetkisiz veri paylaşımının dava anı itibarıyla fiilen devam ettiği durumlarda süreci tamamen durdurmak amacıyla talep edilir.
  • Hukuka aykırılığın tespiti davası: Veri ihlali eylemi hali hazırda sona ermiş olmasına rağmen, mağdurun ticari itibarı veya özel hayatı üzerindeki haksız olumsuz etkileri devam ediyorsa ihlalin hukuki tespiti için başvurulur.
Bilgilerim çalındı, KVKK Kurumu bana tazminat öder mi? expand_more
Kişisel verilerinizin ihlali durumunda doğrudan Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilirsiniz, ancak Kurul size tazminat ödenmesine karar veremez. Kurulun yetkisi yalnızca veri sorumlusuna idari para cezası kesmek veya ihlali durdurmak gibi idari yaptırımlarla sınırlıdır. Uğradığınız somut zararların giderilmesi ve tazminat hakkınızı kullanabilmeniz için genel hükümler çerçevesinde adli yargı mercilerinde dava açmanız gerekmektedir. Hukuki süreci başlatmadan önce ise, yasa gereği işlemi gerçekleştiren veri sorumlusuna başvuru yapmanız zorunludur.
Alışveriş sitemden kartım çalındı, paramı kim ödeyecek? expand_more
E-ticaret platformlarından kaynaklanan veri sızıntılarında doğan maddi ve manevi zararlarınızı bizzat söz konusu alışveriş sitesinden (veri sorumlusundan) talep etme hakkınız bulunmaktadır. Banka hesaplarınızın boşaltılması veya haksız harcamalar gibi somut parasal kayıplarınız için adli mercilerde maddi tazminat davası açabilirsiniz. Ek olarak, bu ifşa sebebiyle yaşadığınız elem, üzüntü veya itibar kaybı gibi olumsuz durumlar için manevi tazminat da isteyebilirsiniz. Veri sorumlusu olan şirket, kişisel veri güvenliği için gerekli olan tüm idari ve teknik tedbirleri aldığını ispatlayamadığı sürece bu zararlarınızı doğrudan karşılamak zorundadır.
İznim olmadan bilgilerimi reklamcılara satmışlar, dava açabilir miyim? expand_more
Evet, şirketlerin aydınlatma metninde belirtilen amaçlar sınırını aşarak tüketici profillerini reklam şirketlerine satması hukuka aykırı bir fiildir ve dava konusudur. Veri sorumlusu bu yasa dışı paylaşım üzerinden haksız bir kazanç elde etmişse, ilgili kazancın tamamen tarafınıza iadesini talep etme hakkınız yasal olarak mevcuttur. Bu hukuki talep, kanunlarımızdaki "gerçek olmayan vekâletsiz iş görme" hükümleri çerçevesinde mahkemeler nezdinde ileri sürülmektedir. Söz konusu yola başvurarak firmanın verilerinizden haksız yere kazandığı bu parayı alabilirsiniz.
İnternetten alışverişte bilgilerim sızdı, dava açma sürem nedir? expand_more
Elektronik ticaret platformlarıyla aranızda kurulan mesafeli sözleşmeler, kişisel verilerinizin korunmasına dair hukuki bir taahhüt içermektedir. Sitenin veri güvenliğini sağlayamayarak verilerinizin sızdırılmasına yol açması açık bir sözleşmeye aykırılık teşkil eder ve bu ihlale dayalı tazminat taleplerinde kural olarak on yıllık zamanaşımı süresi uygulanır. Talebinizi "haksız fiil" temeline dayandırmanız halinde ise zararı ve faili öğrenmenizden itibaren işleyen iki yıllık çok daha kısa bir süre ile sınırlandırılırsınız. Sözleşmeye aykırılık temelinde dava açmak, size on yıl gibi geniş bir süre tanıdığı için yasal haklarınızı korumak adına çok daha avantajlıdır.
Verilerimin hukuka aykırı paylaşıldığını gördüm, nasıl durdururum? expand_more
Verilerinizin hukuka aykırı işlenmesinin veya yetkisiz paylaşımının o an itibarıyla fiilen devam ettiği durumlarda, mahkemede "saldırıya son verilmesi davası" açarak süreci tamamen durdurabilirsiniz. Türk Medeni Kanunu kapsamında düzenlenen bu koruyucu davalar, karşı tarafın kusuru veya somut bir malvarlığı zararınızın oluşması şartı dahi aranmaksızın kolaylıkla açılabilmektedir. Ayrıca, elde edilen mahkeme kararlarının ilgisi bulunan üçüncü kişilere bildirilmesini veya kamuoyuna açık şekilde yayımlanmasını talep etme hakkınız da vardır. Bu dava yolu, ekonomik tazminattan ziyade devam eden hukuka aykırılığın derhal sonlandırılması için kullanılabilecek en etkili hukuki enstrümandır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir