Makale
Elektronik ticarette kişisel verilerin hukuka aykırı işlenmesi veya veri güvenliği ihlalleri, tüketicilerin kişisel haklarını ve malvarlığı değerlerini zarara uğratmaktadır. Bu makalede, KVKK ve genel hükümler çerçevesinde veri sorumlusunun hukuki sorumluluğu, tazminat talepleri ve başvurulabilecek hukuki yollar incelenmektedir.
Veri İhlallerinde Hukuki Sorumluluk ve Tazminat
Elektronik ticaretin yaygınlaşmasıyla birlikte kişisel verilerin dijital ortama aktarımı, veri ihlali risklerini önemli ölçüde artırmıştır. Tüketicilerin paylaştığı kimlik, iletişim ve ödeme verilerinin hukuka aykırı bir şekilde işlenmesi veya siber saldırılar neticesinde yetkisiz kişilerin eline geçmesi, telafisi güç zararlara yol açabilmektedir. Bu noktada, kişisel verilerin ihlali durumunda veri sorumlularının üstlendiği hukuki sorumluluk, hem 6698 sayılı Kişisel Verilerin Korunması Kanunu hem de Türk Medeni Kanunu ile Türk Borçlar Kanunu gibi genel hükümler çerçevesinde değerlendirilmelidir. Veri ihlallerinden kaynaklanan zararların tazmini, mağdurların hak arama hürriyetinin temelini oluştururken, veri sorumlularının da yasal yükümlülüklerine sıkı sıkıya uymasını gerektiren bir yaptırım mekanizması olarak işlev görür. İlgili kişiler, uğradıkları malvarlığı eksilmeleri veya manevi çöküntüler nedeniyle yargı yoluna başvurarak haklarını arayabilmekte ve tazminat talebi ile zararlarının giderilmesini isteyebilmektedir. İhlalin niteliğine göre değişen bu hukuki yollar, tüketicilerin dijital dünyadaki en büyük yasal güvencesini teşkil etmektedir.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri ve Başvuru Yolları
Kişisel verilerin hukuka aykırı olarak işlenmesi veya veri güvenliğinin sağlanamaması durumunda, ilgili kişilerin ilgili yasal mevzuat kapsamında oldukça geniş hakları bulunmaktadır. İlgili kişiler, kişisel verilerin işlenme amacını öğrenme, eksik verilerin düzeltilmesini veya silinmesini isteme ve zararın giderilmesini talep etme haklarına sahiptir. Bu hakların kullanılabilmesi için hukuki süreçte öncelikle veri sorumlusuna başvuru yapılması zorunludur. Veri sorumlusundan tatmin edici bir yanıt alınamaması, yasal sürede cevap verilmemesi veya başvurunun reddedilmesi hallerinde Kişisel Verileri Koruma Kurulu bünyesinde şikâyet süreci başlatılabilir. Ancak unutulmamalıdır ki, Kurul yalnızca idari para cezası ve ihlalin durdurulması gibi idari nitelikteki yaptırımlara karar verebilmektedir. Kurulun mağdurlara doğrudan tazminat ödenmesine hükmetme yetkisi bulunmadığından, veri ihlali sebebiyle doğan somut zararların giderilmesi ve tazminat hakkı için genel hükümler çerçevesinde adli yargı mercilerine başvurulması gerekmektedir.
Haksız Fiil Hükümlerine Göre Sorumluluk ve Şartları
Sözleşme dışı gerçekleşen veri ihlallerinde, örneğin siber saldırılar sonucu verilerin sızdırılması veya yetkisiz paylaşılması durumunda, Türk Borçlar Kanunu’nun genel hükümleri gereğince haksız fiil sorumluluğu gündeme gelmektedir. Bu sorumluluğun doğabilmesi için ortada hukuka aykırı bir fiilin, kusurun, zararın ve fiil ile zarar arasında uygun bir illiyet bağının bulunması kesin bir şarttır. Kişisel veriler bakımından hukuka aykırılık, kişilerin temel haklarını ve mahremiyetini koruyan emredici kuralların ihlali anlamına gelmektedir. Doktrinde veri sorumlusunun tabi olduğu sorumluluk türü tartışmalı olmakla birlikte, ağırlıklı görüş bunun ağır bir özen yükümlülüğü içerdiği yönündedir. Veri sorumlusu, kişisel veri güvenliği için gerekli olan tüm idari ve teknik tedbirleri eksiksiz bir şekilde aldığını ispatlayarak sorumluluktan kurtulmaya çalışabilir. Aksi takdirde, elde ettiği verileri koruyamamaktan doğan tüm maddi ve manevi zararlardan tüketiciye karşı doğrudan sorumlu tutulacaktır.
Maddi ve Manevi Tazminat Talepleri ile İlgili Davalar
Veri ihlalleri neticesinde mağdurların malvarlığında meydana gelen hesaplanabilir somut eksilmeler, maddi tazminat davası yoluyla giderilmektedir. Örneğin, ödeme bilgilerinin sızdırılmasıyla yapılan haksız harcamalar veya banka hesaplarının boşaltılması bu kapsamda değerlendirilir. Diğer taraftan, kişisel verilerin ifşa edilmesi sebebiyle kişinin duyduğu derin elem, üzüntü ve ticari ya da şahsi itibar kaybı gibi kişilik haklarına yönelik manevi zedelenmeler için doğrudan manevi tazminat talep edilebilmektedir. Mahkemeler manevi tazminat miktarını belirlerken, olayın oluş biçimini, kusurun ağırlığını ve mağdurda yarattığı psikolojik etkiyi göz önünde bulundurarak hakkaniyete uygun spesifik bir karara varır. Ayrıca, veri sorumlusunun hukuka aykırı bir şekilde tüketici profillerini reklam şirketlerine satarak gelir elde etmesi halinde, ilgili kişi bu kazancın gerçek olmayan vekâletsiz iş görme hükümleri çerçevesinde tamamen kendisine iade edilmesini talep edebilme hakkına da yasal olarak sahiptir.
Sözleşmeye Aykırılık Bağlamında Hukuki Sorumluluk
Elektronik ticaret platformları ile tüketiciler arasında olağan yollarla kurulan mesafeli elektronik sözleşmeler, mal veya hizmet temininin yanı sıra karşı tarafın kişisel verilerinin korunmasına dair çok net ve gizli bir taahhüdü de barındırmaktadır. Veri sorumlusunun aydınlatma metninde belirtilen amaçlar sınırını aşarak farklı amaçlarla veri işlemesi veya veri güvenliğini teknik olarak sağlayamayarak verilerin sızdırılmasına yol açması, kanunlar uyarınca açık bir sözleşmeye aykırılık teşkil etmektedir. Bu ihlal senaryosunda veri sorumlusu, kendisine hiçbir kusur yüklenemeyeceğini somut delillerle açıkça ispat etmedikçe doğan bütün zararları karşılamakla yükümlü hale gelir. Sözleşme ilişkisine dayanarak mahkemelerde açılacak davalar, haksız fiil temelindeki davalara kıyasla mağdurlar açısından hukuken çok daha avantajlıdır. Zira haksız fiillerde zarar ve failin öğrenilmesinden itibaren başlayan iki yıllık görece kısa bir zamanaşımı süresi bulunurken, sözleşmeye aykırılıktan doğan tazminat taleplerinde zamanaşımı süresi kural olarak on yıl şeklinde uygulanmakta ve tüketiciye hakkını arama noktasında oldukça geniş bir zaman dilimi tanınmaktadır.
Kişilik Hakkını Koruyucu Davalar
Tazminat davalarına ek olarak, Türk Medeni Kanunu'nun ilgili maddeleri uyarınca, kişilik hakları ihlali niteliğindeki her türlü veri sızıntısına veya hukuka aykırı işleme faaliyetine karşı çeşitli koruyucu davalar da kolaylıkla açılabilmektedir. Bu özel davaların temel amacı zararın ekonomik olarak tazmini değil, doğrudan devam eden veya muhtemel hukuka aykırılığın önüne geçilmesi, eylemin sonlandırılması veya resmi olarak tespit edilmesidir. Kusur veya somut bir malvarlığı zararı şartı aranmaksızın açılabilen bu davalarla birlikte, mahkeme kararlarının ilgisi bulunan üçüncü kişilere bildirilmesi veya kamuoyuna açık şekilde yayımlanması da ayrıca istenebilir. Bu davalar kişisel verilerin yasal düzlemde korunmasında oldukça proaktif ve caydırıcı hukuki enstrümanlar olarak öne çıkmaktadır. E-ticaret platformlarında yaşanan veri ihlallerine karşı kullanılabilecek başlıca koruyucu davalar şunlardır:
- Saldırının önlenmesi davası: Verilerin hukuka aykırı şekilde işleneceğine veya sızdırılacağına dair çok ciddi ve yakın bir tehlikenin varlığı tespit edildiğinde bu tehlikenin derhal önüne geçmek için açılır.
- Saldırıya son verilmesi davası: Hukuka aykırı veri işleme faaliyetinin veya yetkisiz veri paylaşımının dava anı itibarıyla fiilen devam ettiği durumlarda süreci tamamen durdurmak amacıyla talep edilir.
- Hukuka aykırılığın tespiti davası: Veri ihlali eylemi hali hazırda sona ermiş olmasına rağmen, mağdurun ticari itibarı veya özel hayatı üzerindeki haksız olumsuz etkileri devam ediyorsa ihlalin hukuki tespiti için başvurulur.