Kullandığım VPN Servisi E-posta Adresimi Sızdırdı: KVKK Kapsamında Ne Yapmalıyım?

Question

Merhaba, bir süredir kullandığım bir VPN hizmetinin veri sızıntısı yaşadığına dair mail aldım dün akşam. E-posta adresimin de sızdırılan veriler arasında olduğunu belirtmişler. VPN gibi güvenli olması gereken bir servisten böyle bir durumla karşılaşmak canımı çok sıktı. KVKK kapsamında bu şirkete karşı nasıl bir hukuki süreç başlatabilirim, bir yaptırım uygulayabilir miyim, hatta tazminat gibi bir durum söz konusu olabilir mi?

Answer 1

Kullandığınız VPN Servisi E-posta Adresinizi Sızdırdıysa: KVKK Kapsamında Adım Adım Yapmanız Gerekenler

Merhaba değerli okuyucular,

Dün akşam saatlerinde bir VPN hizmetinin veri sızıntısı yaşadığına dair bir e-posta aldığınızı ve kendi e-posta adresinizin de bu sızıntıdan etkilendiğini öğrenmek, eminim ki canınızı fazlasıyla sıkmıştır. Özellikle "güvenli bağlantı" vaadiyle kullandığımız bir servisin kişisel verilerimizi sızdırması, büyük bir hayal kırıklığı ve doğal olarak bir güven sarsılması yaratır. Böyle bir durumla karşılaşmak, maalesef dijital dünyada hepimizin başına gelebilecek risklerden biri. Ancak önemli olan, bu durumda haklarınızın farkında olmak ve doğru adımları atmaktır.

Türkiye'nin önde gelen bir veri güvenliği ve KVKK uzmanı olarak, bu hassas konuda size yol göstermek ve haklarınızı nasıl arayabileceğinizi detaylıca anlatmak istiyorum. KVKK, yani Kişisel Verilerin Korunması Kanunu, tam da bu gibi durumlar için var ve size önemli korumalar sağlıyor.

Veri Sızıntısı Nedir ve E-posta Adresinizin Sızması Neden Önemlidir?

Öncelikle, bir veri sızıntısının ne anlama geldiğini netleştirelim. Veri sızıntısı, kişisel verilerin, veri sorumlusu (bu durumda VPN şirketi) tarafından yetkisiz kişilerin eline geçmesi veya bu verilerin yetkisiz bir şekilde açıklanması, elde edilmesi durumudur. E-posta adresiniz gibi görünüşte "basit" bir bilginin sızdırılması bile ciddi riskler taşıyabilir:

• Kimlik Avı (Phishing) Saldırıları: Sızdırılan e-posta adresleri, dolandırıcılar tarafından sahte web siteleri veya e-postalar aracılığıyla sizin şifrelerinizi veya diğer kişisel bilgilerinizi ele geçirmek için kullanılabilir. "Hesabınız askıya alındı, buraya tıklayın" tarzı e-postalarla karşılaşma olasılığınız artar.
• Spam ve İstenmeyen Posta Yoğunluğu: E-posta adresiniz spam listelerine düşebilir ve gereksiz, rahatsız edici reklam postalarıyla dolup taşabilir.
• Diğer Hesaplarınıza Erişim Denemeleri: Eğer aynı e-posta adresini ve benzer şifreleri başka platformlarda (bankacılık, sosyal medya vb.) kullanıyorsanız, siber suçlular bu bilgiyi diğer hesaplarınıza erişmek için bir başlangıç noktası olarak kullanabilir.
• İtibar Kaybı: Sızdırılan e-posta adresleri, kişinin dijital ortamdaki itibarını zedeleyebilecek istenmeyen durumlar için de kullanılabilir.

VPN sağlayıcınızın KVKK kapsamında bir "veri sorumlusu" olduğunu ve kişisel verilerinizi güvenli bir şekilde saklamakla yükümlü olduğunu unutmayın. Bu yükümlülüğün ihlali, Kanun nezdinde ciddi sonuçları beraberinde getirebilir.

VPN Hizmetleri ve KVKK Kapsamında Veri Sorumluluğu

VPN hizmetleri, kullanıcıların internet trafiğini şifreleyerek ve IP adreslerini gizleyerek çevrimiçi gizlilik ve güvenlik sağlamayı hedefler. Bu nedenle, kullanıcılar bu hizmetlere kişisel verilerini (e-posta adresi, ödeme bilgileri vb.) emanet ederken yüksek bir güven beklentisi içindedirler. Bir VPN sağlayıcısı, topladığı tüm kişisel veriler açısından KVKK'ya göre "veri sorumlusu" sıfatına sahiptir.

Veri sorumlusu olarak VPN şirketi:
Kişisel verilerinizi Kanun'a uygun bir şekilde işlemesi (toplaması, saklaması, kullanması) gerekir.
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı erişimi engellemek,
Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.

E-posta adresinizin sızması, bu güvenlik tedbirlerinin yetersiz kaldığı veya ihlal edildiği anlamına gelebilir. Bu durum, veri sorumlusunun KVKK kapsamındaki yükümlülüklerini yerine getirmediği şüphesini doğurur.

Adım Adım Yapılması Gerekenler: Hukuki Süreç Başlatmadan Önce

Hukuki bir süreç başlatmadan önce atmanız gereken bazı pratik ve önemli adımlar var. Bu adımlar, hem kendi güvenliğiniz için hem de olası bir hukuki süreçte elinizi güçlendirmek için kritik öneme sahip.

İlk Adım: Sızıntıyı Doğrulayın ve Bilgileri Toplayın

• Gelen E-postayı Kontrol Edin: Size gelen veri sızıntısı bildiriminin gerçekten VPN sağlayıcınızdan gelip gelmediğini dikkatlice kontrol edin. Dolandırıcılar, bu tür haberleri fırsat bilerek sahte bildirimler gönderebilirler. VPN şirketinizin resmi web sitesine giderek veya resmi sosyal medya hesaplarını kontrol ederek sızıntının duyurulup duyurulmadığına bakın.
• Sızdırılan Verilerin Kapsamını Anlayın: Gelen bildirimi detaylıca okuyun. Sadece e-posta adresinizin mi, yoksa başka verilerinizin (adınız, soyadınız, ödeme bilgileriniz vb.) da sızdırılıp sızdırılmadığını öğrenmeye çalışın.

İkinci Adım: Acil Güvenlik Önlemleri Alın

• Şifrelerinizi Değiştirin: Sızan e-posta adresinizle ilişkili tüm hesapların (özellikle VPN hesabınızın ve aynı e-posta ile kayıtlı diğer önemli servislerin) şifrelerini derhal değiştirin. Her hesap için benzersiz ve güçlü şifreler kullanmaya özen gösterin.
• İki Faktörlü Kimlik Doğrulama (2FA) Kullanın: Mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirin. Bu, birisi şifrenizi ele geçirse bile hesabınıza erişmesini önemli ölçüde zorlaştırır.
• Spam Filtrelerinizi Güçlendirin: E-posta sağlayıcınızın spam filtrelerini daha sıkı ayarlayın ve şüpheli e-postaları açmaktan kaçının.

Üçüncü Adım: VPN Sağlayıcısıyla İletişime Geçin

VPN şirketinin müşteri hizmetleri veya veri koruma birimiyle iletişime geçerek sızıntı hakkında daha fazla bilgi talep edin. KVKK'nın 11. maddesi kapsamında, veri sorumlusundan kişisel verilerinizin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerinizin sızdırılması durumunda ne tür önlemler alındığını sorma gibi haklarınız bulunmaktadır. Bu yazışmalar, ilerideki hukuki süreçler için önemli kanıtlar teşkil edecektir.

KVKK Kapsamında Hukuki Süreçler ve Haklarınız

VPN şirketinden tatmin edici bir yanıt alamazsanız veya hiç yanıt alamazsanız, KVKK kapsamında devreye sokabileceğiniz hukuki yollar mevcuttur.

1. Veri Sorumlusuna Başvuru Hakkı (KVKK m.13)

KVKK'ya göre, kişisel verilerinizin sızdırılması durumunda ilk yapmanız gereken şey, veri sorumlusu olan VPN şirketine bizzat başvurmaktır. Bu başvuru dilekçenizde:
Kimliğinizin tespiti için gerekli bilgileri (ad, soyad, T.C. kimlik numarası vb.)
Veri sızıntısının size nasıl bildirildiğini (e-posta tarihi, içeriği)
Sızdırılan verilerinizin neler olduğunu
VPN şirketinden beklentilerinizi (örneğin, sızıntının nasıl gerçekleştiği, hangi önlemlerin alındığı, gelecekte benzer durumların yaşanmaması için ne yapılacağı hakkında detaylı bilgi, verilerinizin silinmesi/anonimleştirilmesi talebi gibi) açıkça belirtmelisiniz.

Bu başvuruyu noter aracılığıyla ihtarname şeklinde göndermeniz veya şirketin size bildirdiği resmi başvuru kanallarını (genellikle web sitesinde yer alan başvuru formu) kullanmanız önemlidir. Şirket, başvurunuza en geç 30 gün içinde cevap vermek zorundadır.

2. Kişisel Verileri Koruma Kurulu'na (KVKK) Şikayet Hakkı (KVKK m.14)

Eğer VPN şirketinden 30 gün içinde yanıt alamazsanız veya aldığınız yanıt sizi tatmin etmezse, doğrudan Kişisel Verileri Koruma Kurumu'na (KVKK) şikayette bulunma hakkınız doğar.
Şikayet Dilekçesi: Kurum'un web sitesinde (kvkk.gov.tr) bulunan başvuru formunu doldurarak veya kendi dilekçenizi hazırlayarak şikayette bulunabilirsiniz.
Kanıtlar: Şikayet dilekçenize, VPN'den gelen sızıntı bildirimini, VPN'e yaptığınız başvuruyu ve VPN'den gelen (varsa) yanıtı mutlaka ekleyin. Bu belgeler, şikayetinizin değerlendirilmesi için çok önemlidir.
* Kurul'un Rolü: Kurul, şikayetinizi inceleyecek ve veri sorumlusunun KVKK hükümlerine aykırı davranıp davranmadığını değerlendirecektir. Eğer bir aykırılık tespit edilirse, Kurul VPN şirketine idari para cezası uygulayabilir. Bu cezalar, veri sızdıran kurumlar için oldukça caydırıcı olabilir.

3. Tazminat Talebi (KVKK m.14/3 ve Borçlar Kanunu)

KVKK'nın 14/3 maddesi, kişisel verileri ihlal edilen kişilerin uğradıkları zararlar nedeniyle genel hükümlere göre tazminat talep etme haklarının saklı olduğunu belirtir. Yani, bu veri sızıntısı nedeniyle maddi veya manevi bir zarara uğradığınızı ispatlayabilirseniz, VPN şirketine karşı tazminat davası açabilirsiniz.

• Maddi Tazminat: E-posta adresinizin sızması sonucu somut, ölçülebilir bir maddi zararınız oluştuysa (örneğin, kimlik avı saldırısı sonucu banka hesabınızdan para çekilmesi, itibarınızı zedeleyen yayınlar nedeniyle iş kaybı vb.), bu zararın tazminini isteyebilirsiniz. Ancak e-posta sızıntısı nedeniyle doğrudan bir maddi zarar oluştuğunu ispatlamak genellikle zordur.
• Manevi Tazminat: Yaşadığınız bu durumun yarattığı stres, üzüntü, hayal kırıklığı ve güven kaybı gibi psikolojik etkiler nedeniyle manevi tazminat talep edebilirsiniz. Manevi tazminatın miktarı, olayın niteliği, sızıntının boyutu ve sizin yaşadığınız mağduriyetin derecesine göre mahkeme tarafından belirlenir.

Unutmayın: Tazminat davaları, Kurul'a yapılan şikayet sürecinden bağımsız ve genellikle daha uzun ve karmaşık bir süreçtir. Bu aşamada bir avukattan hukuki destek almanız, sürecin doğru yönetilmesi açısından hayati önem taşır.

Gerçek Hayattan Örnekler ve Tavsiyeler

Geçmişte birçok ulusal ve uluslararası platformda, veri sızıntısı yaşayan şirketlere Kurul tarafından idari para cezaları uygulandığını gördük. Bu durumlar, veri sorumlularının üzerindeki yükümlülüğün ne kadar ciddi olduğunun bir göstergesidir. Örneğin, benzer bir e-posta sızıntısı sonrasında Kurul, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığına hükmederek yüksek miktarda idari para cezaları kesebilmiştir.

Size özel tavsiyeler:
Pes Etmeyin: Haklarınızı arama sürecinde kararlı olun. KVKK, sizin gibi veri sahiplerini korumak için tasarlanmış bir kanundur.
Belgeleme Yapın: Tüm yazışmaları, e-postaları, ekran görüntülerini ve sızıntıyla ilgili diğer belgeleri titizlikle saklayın. Bunlar, ileriki süreçlerde kanıt olarak sunulacaktır.
* VPN Seçiminizi Gözden Geçirin: Bu olayın ardından, kullandığınız VPN hizmetinin güvenilirliğini tekrar sorgulamanızda fayda var. "Kayıt tutmama (no-logs) politikası," bağımsız denetim raporları, şeffaf gizlilik politikaları gibi kriterler, yeni bir VPN seçerken dikkat etmeniz gereken önemli noktalardır.

Sonuç

Kullandığınız bir VPN servisinin e-posta adresinizi sızdırması kuşkusuz ki tatsız bir deneyim. Ancak bu durum, sizin kişisel veriler üzerindeki kontrolünüzü tamamen kaybettiğiniz anlamına gelmez. KVKK, size bu gibi durumlarda haklarınızı arayabileceğiniz güçlü mekanizmalar sunuyor.

Özetle, öncelikle kendi dijital güvenliğinizi sağlamak için acil adımlar atın, ardından VPN şirketine yazılı başvurunuzu yapın. Eğer tatmin edici bir yanıt alamazsanız, Kişisel Verileri Koruma Kurumu'na şikayette bulunarak yasal sürecin bir parçası olun. Olası bir maddi veya manevi zararınız oluştuğunu düşünüyorsanız, tazminat davası açma seçeneğini de bir avukatla değerlendirebilirsiniz.

Unutmayın, dijital dünyada kişisel verileriniz sizin en değerli varlıklarınızdan biridir ve onların korunması en temel hakkınızdır. Haklarınızı kullanmaktan çekinmeyin. Bu süreçte yalnız değilsiniz ve hukuki mekanizmalar sizin yanınızda.