E-Ticaret Sitesinde Veri İhlali Resen İnceleme, Yetkisiz Erişim ve 72 Saat Bildirim Yükümlülüğü (2021/427)
E-ticaret platformlarında pazar yeri (marketplace) modelinin yaygınlaşması; partner/tedarikçi hesapları, CRM (müşteri hizmetleri) panelleri ve yetkilendirme süreçlerinin kritik bir uyum alanı haline gelmesine neden olmuştur. Kurulun 27/04/2021 tarih ve 2021/427 sayılı kararı; tedarikçi hesapları üzerinden oluşan bir erişim zafiyetinin, veri sorumlusunun teknik ve idari tedbir yükümlülükleri ile veri ihlali bildirim sorumluluklarını nasıl tetiklediğini somut şekilde ortaya koymaktadır.
Bu içerikte; olay akışı, Kurulun değerlendirmesi, idari para cezalarının dayanakları ve e-ticaret şirketleri için uygulanabilir kontrol listesi kurumsal bir çerçevede sunulmuştur.
Temel bulgu: Tedarikçi/partner yetkilendirmesi hatalı kurgulanınca CRM panelinden yetkisiz erişim oluştu.
Hukuki sonuç: Sonradan imzalanan gizlilik sözleşmesi ihlali geçmişe dönük olarak ortadan kaldıramaz.
Kritik yükümlülük: Veri ihlali tespitinden itibaren 72 saat içinde Kurula bildirim ve koşullara göre ilgili kişilere bildirim.
Risk alanı: Marketplace kurgusunda rol tabanlı yetki, loglama ve düzenli kontrol yapılmaması.
Veri ihlali yönetimi; “kriz iletişimi” değil, kanıta dayalı uyum disiplinidir.
1. Olay Akışı ve Resen İnceleme
Kurul, bir e-ticaret sitesinde (veri sorumlusu) meydana geldiği iddia edilen erişim zafiyeti üzerine, partner firmanın yaptığı ihbarı dikkate alarak resen inceleme başlatmıştır. İhbarda; partner firmanın “bildirim paneli” üzerinden işlem yapmak isterken hata aldığı, ilgili linki tarayıcıya yazarak giriş denemeleri sonucunda veri sorumlusunun müşteri hizmetleri (CRM) paneline eriştiğini, şifre sıfırlama akışıyla sisteme giriş sağlandığını ve bu kapsamda sistem açığına ilişkin veri sorumlusunun bilgilendirildiğini belirttiği görülmektedir.
Veri sorumlusunun yaklaşımı (özet)
- Pazar yeri modeli kapsamında partner/tedarikçilere kullanıcı adı-şifre tahsis edildiği,
- Partnerlerin bir açık bulduklarını bildirerek üçüncü kişi firmaların bilgilerine eriştiklerini beyan ettikleri,
- Akabinde taraflar arasında gizlilik sözleşmesi imzalandığı ve verilerin teslim/imha taahhütlerinin alındığı,
- Daha sonra partnerlerin şantaj amaçlı para istediği, ödeme yapılmadığı ve savcılığa suç duyurusunda bulunulduğu
Kurul değerlendirmesinde kritik nokta; erişimin sağlandığı ilk tarih itibarıyla partnerin yetkili olmadığı verilere erişmesidir. Bu nedenle, sonradan imzalanan sözleşme ile ihlalin “geçmişe dönük” hukuken ortadan kaldırılması mümkün görülmemiştir.
2. Kurulun Teknik ve İdari Tedbir Değerlendirmesi
Kararda, ihlalin tedarikçi grubuna “tüm bildirimlerde arama” yetkisi verilmesi sonucunda oluştuğu; bunun da yetkilendirme süreçlerinin kontrol edilmediğini ve yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığını gösterdiği belirtilmiştir. Bu durum, veri sorumlusunun KVKK m.12 kapsamında gerekli teknik ve idari tedbirleri alma yükümlülüğü bakımından aleyhe değerlendirilmiştir.
E-ticaret şirketleri için riskli alanlar
- Rol tabanlı erişim (RBAC) tasarımının yetersiz olması (partner/tedarikçi rollerinin geniş yetkilerle tanımlanması),
- Ayrıcalıklı erişim yönetimi eksikliği (CRM gibi kritik panellere dolaylı erişim ihtimali),
- Yetki gözden geçirme (access review) süreçlerinin periyodik yapılmaması,
- Loglama/izleme ve anomali tespitinin devreye alınmaması veya etkin olmaması.
| Kontrol Alanı | Karardan Çıkan Temel Beklenti |
|---|---|
| Yetkilendirme | Partner/tedarikçi yetkileri “en az ayrıcalık” prensibiyle sınırlandırılmalı; üçüncü kişilere ait verilere erişim engellenmelidir. |
| Düzenli Kontrol | Yetkisiz erişime ilişkin düzenli kontrol ve doğrulama mekanizmaları kurulmalı; yetkiler periyodik olarak gözden geçirilmelidir. |
| Panel Güvenliği | CRM gibi paneller için ek güvenlik katmanları, erişim segmentasyonu ve güvenli parola sıfırlama akışları uygulanmalıdır. |
| İzleme ve Kayıt | Loglar bütünlük korumalı şekilde saklanmalı; şüpheli erişim denemeleri ve sıra dışı hareketler için alarm mekanizması tanımlanmalıdır. |
3. 72 Saat Bildirim: Kurula ve İlgili Kişilere Bildirim Yükümlülüğü
Kararda; yetkisiz erişimi gerçekleştirenler yönünden yürütülen cezai soruşturma ile veri sorumlusunun veri güvenliğini sağlayacak tedbirleri almaması nedeniyle oluşan veri ihlalini Kurula bildirme yükümlülüğünün farklı fiiller olduğu vurgulanmıştır. Dolayısıyla “suç duyurusu yaptım” yaklaşımı, ihlal bildirim yükümlülüğünü ortadan kaldırmaz.
Kurulun değerlendirdiği başlıklar
- İhlalin gerçekleştiği ve tespit edildiği tarihe rağmen Kurula bildirim yapılmaması,
- İhlalden etkilenen ilgili kişilere bildirim yapılmaması,
- 72 saat içinde bildirim kuralına aykırılık (Kurulun 24.01.2019 tarihli kararında belirlenen çerçeveye atıf)
4. Karardan Çıkan Uyum Dersleri (E-Ticaret)
2021/427 sayılı karar; e-ticaret platformlarında partner/tedarikçi entegrasyonlarının sadece ticari süreç olarak değil, KVKK veri güvenliği ve veri ihlali yönetimi perspektifiyle ele alınması gerektiğini göstermektedir.
Öne çıkan dersler
- Gizlilik sözleşmesi ihlali “önleyici kontrol” değildir; ihlal oluştuysa geriye dönük silmez.
- Yetki tasarımı ve “grup yetkileri” en yüksek risk alanıdır; tek bir yanlış rol, geniş veri sızıntısı yaratabilir.
- CRM/panel güvenliği kritik varlıktır; tedarikçi akışları bu panellere dolaylı erişim doğurmayacak şekilde ayrıştırılmalıdır.
- 72 saat kuralı, olayın “suç” olup olmamasından bağımsız, uyumun temel KPI’ıdır.
- İspat yükü veri sorumlusundadır: loglar, erişim kayıtları, aksiyon planı ve bildirim dokümantasyonu denetimde belirleyicidir.
5. E-Ticaret için Uygulanabilir Kontrol Listesi
Aşağıdaki kontrol listesi; CRM paneli, tedarikçi yetkilendirmeleri ve veri ihlali bildirim yönetimini tek çatı altında ele alarak e-ticaret şirketlerinde Türkiye genelinde uygulanabilir bir uyum standardı oluşturmayı hedefler.
A. Yetkilendirme ve erişim yönetimi
- Partner/tedarikçi hesapları için rol tabanlı yetki matrisi oluşturun ve “en az ayrıcalık” prensibini uygulayın.
- Üçüncü kişi firmalara ait verilere erişim ihtimali doğuran tüm ekranları segment edin ve ayrı izin setlerine bağlayın.
- “Tüm bildirimlerde arama” gibi geniş yetkileri istisnai hale getirin; gerekçelendirin ve onay mekanizmasına bağlayın.
- Şifre sıfırlama/yenileme süreçlerini çok faktörlü doğrulama ve hız kısıtı (rate limit) ile koruyun.
B. Panel güvenliği ve teknik kontroller
- CRM paneline erişimi IP/cihaz bazlı kısıtlar, WAF kuralları ve oturum güvenliği ile güçlendirin.
- Yetki değişiklikleri ve olağandışı erişim denemeleri için alarm ve otomatik aksiyon mekanizmaları kurun.
- Logları bütünlük korumalı şekilde saklayın; kritik paneller için ayrı log havuzu ve olay korelasyonu (SIEM) kurgulayın.
- Partner onboarding öncesi ve periyodik olarak yetkilendirme testleri gerçekleştirin (negatif test senaryoları dahil).
C. İhlal yönetimi ve 72 saat bildirim operasyonu
- “İhlal tespit anı” tanımını netleştirin ve olay yönetim sürecini (IRP) yazılı hale getirin.
- 72 saat bildirim takibini otomatikleştirin: sorumlular, zaman çizelgesi, onay ve dokümantasyon.
- Kurula bildirim ve ilgili kişilere bildirim kriterlerini önceden belirleyin; şablon metinleri hazır tutun.
- Olay sonrası “kök neden analizi” ve iyileştirme planını kapatmadan dosyayı kapanmış saymayın.
6. Sık Sorulan Sorular (SSS)
Sonradan imzalanan gizlilik sözleşmesi ihlali ortadan kaldırır mı?
Hayır. İhlal gerçekleştiyse, sonradan yapılan sözleşmeler yalnızca hasar azaltma amacı taşır; geçmişe dönük olarak ihlali hukuken yok saydırmaz.
Partner/tedarikçi erişimi “iç kullanıcı” gibi mi değerlendirilir?
Partner hesapları, teknik olarak dış kullanıcıdır; ancak yanlış yetkiyle iç sistemlere geniş erişim doğurabildiği için risk seviyesi çok yüksektir. Yetki sınırları açık ve test edilebilir olmalıdır.
Suç duyurusu yapmak Kurula bildirim yükümlülüğünü kaldırır mı?
Hayır. Cezai süreç ile KVKK kapsamındaki veri güvenliği ve ihlal bildirimi yükümlülükleri ayrı değerlendirilir.
72 saat ne zaman başlar?
Uygulamada kritik kavram “ihlalin tespit edildiği an”dır. Olayın teknik analizi sürse bile, tespit ve bildirim zaman çizelgesi ayrı yönetilmelidir.
Marketplace kurgusunda en kritik kontrol nedir?
Rol tabanlı yetki matrisi + düzenli yetki gözden geçirme (access review) + kritik panellerin segmentasyonu üçlüsü, veri sızıntısı riskini belirgin şekilde azaltır.
İhlal bildiriminde ispat için hangi kayıtlar önemlidir?
Erişim logları, yetki değişikliği kayıtları, olay zaman çizelgesi, alınan aksiyonlar, etki analizi ve bildirim dokümantasyonu denetimde temel delil niteliğindedir.
