E-ticaret sitemdeki veri ihlali sonrası hukuki sorumluluk kime ait?

Question

Kendi kurduğum e-ticaret sitemde (WordPress, WooCommerce) yakın zamanda bir veri ihlali yaşandı. Müşteri bilgilerinin bir kısmı çalındı. KVKK ve diğer yasalara göre bu durumda benim sorumluluğum ne, servis sağlayıcının (hosting, payment gateway) sorumluluğu ne oluyor? Mağdurlara karşı ne gibi adımlar atmalıyım?

Answer 1

E-ticaret Sitenizdeki Veri İhlali Sonrası Hukuki Sorumluluk Kime Ait? Detaylı Bir Bakış

Merhaba değerli e-ticaret girişimcisi dostum,

Öncelikle geçmiş olsun dileklerimi iletmek isterim. Bir e-ticaret sitesi sahibi olarak, özellikle de kendi emeğinizle kurduğunuz bir platformda böyle bir veri ihlali yaşamak, inanın ki hem teknik hem de psikolojik açıdan oldukça yıpratıcı bir durum. Türkiye'de bir uzman olarak, bu tür vakalarla sıkça karşılaşıyor ve maalesef görüyorum ki, pek çok işletme sahibi, hukuki sorumlulukların karmaşıklığı karşısında adeta donup kalıyor. Ama merak etmeyin, bu makalede size yol göstermek, bu karmaşık durumu adım adım açıklamak ve atmanız gereken adımlar konusunda somut öneriler sunmak için buradayım.

Soru çok net: "E-ticaret sitemdeki veri ihlali sonrası hukuki sorumluluk kime ait?" Bu sorunun cevabı tek bir kişiye işaret etmiyor; daha çok, bir sorumluluk zinciri ve her halkasının kendi içinde taşıdığı yükümlülükler var. Gelin, bu durumu farklı açılardan inceleyelim.

1. Temel Sorumluluk: Veri Sorumlusu Kimdir?

Öncelikle, Türk Hukuku'nda, özellikle de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında "veri sorumlusu" kavramını çok iyi anlamamız gerekiyor. Kanun, veri sorumlusunu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi olarak tanımlar.

Sizin durumunuzda, kendi kurduğunuz e-ticaret sitesi (WordPress, WooCommerce altyapısı kullanarak), müşterilerinizin ad, soyad, adres, e-posta, telefon numarası gibi kişisel verilerini işliyor. Bu verilerin neden ve nasıl işleneceğine (örneğin, sipariş yönetimi, pazarlama, kargo gönderimi gibi amaçlar) siz karar veriyorsunuz. Bu durumda, hukuken veri sorumlusu sizsiniz.

Bu ne anlama geliyor? Müşteri bilgilerinin çalınması gibi bir veri ihlalinde, ilk ve en temel hukuki sorumluluk, kişisel verilerin güvenliğini sağlama yükümlülüğü size ait olduğu için, öncelikle sizin üzerinizde olacaktır. Yani KVKK’ya göre verilerin güvenliğinden birincil derecede siz sorumlusunuz.

2. Sizin Sorumluluğunuz: Bir E-ticaret Sitesi Sahibi Olarak Neler Beklenir?

KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri alma yükümlülüğünü getiriyor.

Sizin e-ticaret sitenizde (WordPress, WooCommerce) bir ihlal yaşandığına göre, şu soruların cevapları sizin sorumluluğunuzun kapsamını belirleyecektir:

• Güncellemeler: WordPress çekirdeğini, WooCommerce eklentisini ve kullandığınız diğer tüm eklentileri (tema, güvenlik eklentileri vb.) düzenli olarak güncellediniz mi? Çoğu ihlal, güncellenmemiş yazılımlardaki bilinen güvenlik açıklarından kaynaklanır.
• Güvenlik Eklentileri: Bir güvenlik eklentisi (Wordfence, iThemes Security gibi) kullanıyor muydunuz? Ayarları doğru yapılandırılmış mıydı?
• Güçlü Şifreler: Yönetici paneli ve veritabanı şifreleriniz yeterince güçlü müydü? "admin" veya "123456" gibi basit şifreler kullanmadınız, değil mi?
• SSL Sertifikası: Siteniz aktif bir SSL sertifikasına sahip miydi? (Genelde bu, hosting tarafından sağlanır ama kontrolü sizin sorumluluğunuzda).
• Yedeklemeler: Verilerinizin düzenli yedeklerini alıyor muydunuz?
• Erişim Kontrolü: Sitenize dışarıdan erişim (FTP, SSH) için güçlü parolalar ve gerektiğinde IP kısıtlamaları uyguluyor muydunuz?

Deneyimlerimden biliyorum ki, küçük bir e-ticaret işletmesi olarak tüm bu detayları takip etmek zor olabilir. Ancak KVKK, işletmenin büyüklüğüne bakmaksızın, veri güvenliği konusunda makul düzeyde özen gösterilmesini bekler. Yani, bir siber güvenlik uzmanı kadar olmasa da, bir e-ticaret sitesi sahibi olarak temel güvenlik prensiplerine uymanız gerekiyor.

3. Servis Sağlayıcıların Rolü ve Sorumluluğu: Onlar Ne Kadar Hatalı?

Veri sorumlusu siz olsanız da, e-ticaret sitenizin işleyişinde hosting firması ve ödeme geçidi gibi üçüncü taraf servis sağlayıcıları da önemli rol oynar. Bu noktada "veri işleyen" kavramı devreye girer. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

a) Hosting Sağlayıcısı (Veri İşleyen)

Hosting sağlayıcınız, sitenizin barındırıldığı sunucuların fiziksel güvenliğinden, ağ altyapısının genel güvenliğinden ve genellikle işletim sistemi seviyesindeki güncellemelerden sorumludur. Eğer ihlal, hosting firmasının kendi altyapısındaki genel bir zafiyetten (örneğin, sunucudaki bir açık, güvenlik duvarı hatası vb.) kaynaklandıysa, onların da bu durumda hukuki sorumluluğu doğabilir.

Ancak, çoğu durumda, WordPress/WooCommerce gibi içerik yönetim sistemlerindeki açıklar veya eklenti zafiyetleri sitenin kendisinden kaynaklanır. Hosting firmaları genellikle "paylaşımlı hosting" hizmeti veriyorsa, kendi sunucularına sizin yazılımınıza müdahale etme yetkileri ve sorumlulukları sınırlıdır. Sizin yazılımınızdaki (WordPress, WooCommerce, tema, eklentiler) güncellemeler ve güvenlik yapılandırmaları genellikle sizin sorumluluğunuzdadır.

Yapılması gereken: Hosting sözleşmenizi ve Hizmet Seviyesi Anlaşması'nı (SLA) dikkatlice inceleyin. Veri güvenliğiyle ilgili maddeleri kontrol edin. İhlalin kaynağının ne olduğunu netleştirmek için hosting firmanızla iletişim kurun ve onlardan detaylı bilgi talep edin. Bir iç rapor hazırlamalarını isteyebilirsiniz.

b) Ödeme Geçidi (Payment Gateway) Sağlayıcısı (Ayrı Bir Veri Sorumlusu veya Veri İşleyen)

Ödeme geçitleri, kredi kartı bilgileri gibi çok hassas verileri işler. Bu tür firmalar genellikle kendi başlarına birer veri sorumlusudur ve PCI DSS (Payment Card Industry Data Security Standard) gibi uluslararası güvenlik standartlarına uymak zorundadırlar.

Eğer müşteri kredi kartı bilgilerinin çalınması söz konusuysa ve bu ihlal ödeme geçidinin kendi sistemlerindeki bir zafiyetten kaynaklandıysa, sorumluluk büyük ölçüde ödeme geçidi firmasına aittir. Ancak eğer siz, kredi kartı bilgilerini sitenizde saklıyor (ki bu önerilmez ve tehlikelidir) veya ödeme geçidinin güvenli olmayan entegrasyon yöntemlerini kullanıyorsanız, bu durumda sizin de sorumluluğunuz doğabilir.

Yapılması gereken: Ödeme geçidi firmanızla iletişime geçin. Onlardan kendi güvenlik önlemleri ve sistemlerindeki potansiyel zafiyetler hakkında bilgi talep edin. İhlalin kendi taraflarında olup olmadığını netleştirin.

4. Veri İhlali Sonrası Atmanız Gereken İlk Adımlar: Kriz Yönetimi

Veri ihlali tespit edildiği anda atmanız gereken adımlar, hukuki sorumluluğunuzun hafifletilmesi ve potansiyel zararın minimize edilmesi açısından kritik öneme sahiptir:

1. İhlali Durdurun ve Kapsamını Belirleyin: Öncelikle, saldırıyı durdurmak ve daha fazla veri sızıntısını engellemek için gerekli teknik adımları atın (örneğin, siteyi geçici olarak kapatma, açığı kapatma, şifreleri değiştirme). Hangi verilerin, ne kadarının ve hangi zaman aralığında çalındığını tespit edin.
2. Delilleri Toplayın: Tüm sunucu günlükleri (log kayıtları), güvenlik eklentisi raporları ve diğer ilgili verileri toplayın. Bunlar, ihlalin nasıl gerçekleştiğini anlamak ve sorumluluğu belirlemek için çok önemlidir.
3. KVK Kurumu'na Bildirim (72 Saat Kuralı!): KVKK'nın 12. maddesi ve Kişisel Verileri Koruma Kurulu'nun ("Kurul") yayımladığı "Veri İhlali Bildirimi Rehberi" uyarınca, veri ihlalini öğrendiğiniz tarihten itibaren en geç 72 saat içinde KVK Kurumu'na bildirimde bulunmak zorundasınız. Bu bildirim, Kurul'un web sitesinde bulunan "Veri İhlali Bildirim Formu" doldurularak yapılır. Bu, yasal bir zorunluluktur ve uyulmaması halinde ciddi idari para cezaları ile karşılaşabilirsiniz.
4. İlgili Kişilere Bildirim: İhlalden etkilenen kişilere (müşterilerinize) de gecikmeksizin ve mümkün olan en kısa sürede, KVK Kurulu'nun belirlediği yöntemlerle bildirim yapmanız gerekir. Bu bildirimde, ihlalin niteliği, hangi verilerin etkilendiği, olası sonuçları ve mağdurların hakları açıkça belirtilmelidir.
5. Hukukçu ve Siber Güvenlik Uzmanı Desteği: Bu süreçte hem bir KVKK uzmanı avukatın hem de profesyonel bir siber güvenlik danışmanının desteğini almak hayati öneme sahiptir. Hukukçu, yasal süreçleri yönetmenize, bildirimleri doğru yapmanıza yardımcı olurken; siber güvenlik uzmanı da teknik analizi yapar, açığı kapatır ve gelecekteki riskleri minimize eder.
6. Adli Makamlara Şikayet: İhlali gerçekleştirenlerin tespiti ve cezalandırılması için Cumhuriyet Başsavcılığı'na suç duyurusunda bulunmak da önemlidir.

5. Mağdurlara Karşı Sorumluluk ve İletişim: Şeffaflık Anahtardır

Müşterileriniz, bu olayın doğrudan mağdurlarıdır. Onlara karşı sorumluluğunuz, sadece yasal bildirim yapmakla bitmez.

• Şeffaf ve Anlaşılır İletişim: Müşterilerinize durumu samimi, anlaşılır ve şeffaf bir dille açıklayın. Ne tür verilerinin çalındığını, olayın nasıl yaşandığını (çok detaya girmeden ama genel hatlarıyla), ne gibi önlemler aldığınızı ve gelecekte ne yapacağınızı bildirin.
• Öneriler Sunun: Mağdurlara kendi güvenlikleri için neler yapabileceklerini (örneğin, sitenizdeki ve diğer platformlardaki şifrelerini değiştirmeleri, banka/kredi kartı hareketlerini izlemeleri, kimlik avı dolandırıcılıklarına karşı dikkatli olmaları) bildirin.
• Destek Olun: Müşterilerinize soru sormak veya endişelerini dile getirmek için bir iletişim kanalı (özel bir e-posta adresi veya telefon hattı) sağlayın.
• Güven Yeniden İnşa Edin: Bu süreç, markanızın itibarı için büyük bir sınavdır. Dürüstlük ve proaktif yaklaşım, kaybedilen güveni yeniden kazanmanın tek yoludur.

Unutmayın, bu süreçte sadece KVKK idari para cezalarıyla değil, aynı zamanda veri ihlalinden zarar gören müşterilerinizin açabileceği maddi ve manevi tazminat davalarıyla da karşı karşıya kalabilirsiniz.

6. Hukuki Süreç ve Potansiyel Sonuçlar: Cezalar ve Tazminatlar

• KVKK İdari Para Cezaları: KVK Kurumu, Kanun'a aykırılıklar tespit ettiğinde, veri sorumlusuna milyonlarca liraya varan idari para cezaları uygulayabilir. 72 saat içinde bildirim yapmamak veya yeterli güvenlik önlemlerini almamak, bu cezaların uygulanma nedenleri arasındadır.
• Tazminat Davaları: Verileri çalınan ve bu durumdan dolayı maddi veya manevi zarar gören müşterileriniz, size karşı tazminat davası açabilirler. Banka hesaplarının boşaltılması gibi maddi zararlar veya büyük stres yaşanması gibi manevi zararlar talep edilebilir.
• İtibar Kaybı: Belki de en büyük ceza, markanızın ve işletmenizin itibarının zarar görmesidir. Tüketicilerin güvenini kaybetmek, uzun vadede işletmenizin geleceğini tehdit edebilir.

7. Önleyici Tedbirler: Gelecekte Tekrar Yaşanmaması İçin

Bu kötü deneyimden ders çıkararak gelecekte benzer durumların yaşanmaması için aşağıdaki önlemleri almanızı şiddetle tavsiye ederim:

• Düzenli Güvenlik Denetimleri: Sitenizde profesyonel siber güvenlik firmalarına düzenli güvenlik denetimleri (penetrasyon testleri) yaptırın.
• Yazılım Güncellemeleri: Tüm yazılımlarınızı (WordPress, WooCommerce, tema, eklentiler) otomatik olarak değil, manuel olarak ve test ederek düzenli güncelleyin.
• Güçlü Şifre Politikası: Kendi ve çalışanlarınızın tüm hesapları için güçlü, karmaşık ve düzenli olarak değiştirilen şifreler kullanın. İki faktörlü kimlik doğrulama (2FA) kullanmayı zorunlu hale getirin.
• Web Uygulama Güvenlik Duvarı (WAF): Bir WAF çözümü kullanarak sitenize gelen kötü niyetli trafiği engelleyin.
• Veri Minimasyonu: Sadece ihtiyacınız olan kişisel verileri toplayın ve saklayın. Artık ihtiyacınız olmayan verileri güvenli bir şekilde silin.
• Çalışan Eğitimi: Çalışanlarınızı siber güvenlik konusunda bilinçlendirin. Oltalama (phishing) saldırılarına karşı eğitin.
• Siber Güvenlik Sigortası: Bu tür risklere karşı siber güvenlik sigortası yaptırmayı düşünebilirsiniz.

Sonuç

E-ticaret sitenizdeki veri ihlali sonrası hukuki sorumluluk, büyük ölçüde sizin "veri sorumlusu" sıfatınızdan kaynaklanır. Ancak servis sağlayıcılarınızın da (hosting, ödeme geçidi) kendi sorumluluk alanlarına giren kısımlarda yükümlülükleri olabilir. Önemli olan, ihlal anında hızlı, doğru ve yasalara uygun adımlar atarak hem KVK Kurumu'na hem de mağdurlara karşı sorumluluklarınızı yerine getirmenizdir.

Bu süreç zorlu ve karmaşık olsa da, doğru adımları atarak ve uzmanlardan destek alarak bu süreci en az zararla atlatmanız mümkündür. Unutmayın, dijital dünyada güvenlik asla bitmeyen bir yolculuktur ve sürekli uyanık olmak zorundayız. Gelecekte sitenizi daha da güçlendirmek ve müşteri güvenini yeniden tesis etmek için atacağınız adımlar, bu sürecin en değerli kazanımı olacaktır.