KVKK 2021/1021 Kararı Özeti: Mağazacılık Faaliyeti Yürüten Veri Sorumlusunun Veri İhlal Bildirimi
Kişisel Verileri Koruma Kurulu’nun 07/10/2021 tarihli ve 2021/1021 sayılı kararı; mağazacılık faaliyeti yürüten bir veri sorumlusunun, müşterilerine ait kişisel verilerin bir forum sitesinde satışa çıkarıldığı iddiası üzerine yaptığı veri ihlal bildiriminin incelenmesine ilişkindir. Karar; ihlalin kaynağına dair değerlendirmelerin yanında, veri işleyen ile çalışma halinde dahi veri sorumlusunun KVKK m.12 kapsamındaki yükümlülüklerinin devam ettiğini net biçimde vurgular.
Kurul; ihlal kapsamında etkilenen kişi sayısının yüksek olması, verilerin kötü şöhretli bir forum ortamında satışa sunulması ve veri kategorilerinin niteliği gibi unsurları dikkate alarak, veri güvenliği tedbirlerini yeterli düzeyde uygulamayan veri sorumlusu hakkında 450.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca, ilgili kişilere yapılan bildirimin içeriğine ilişkin uygulama beklentilerini de hatırlatmıştır.
Karar: KVKK Kurulu 07.10.2021 / 2021/1021.
Olay: Müşteri verilerinin forumda satışa çıkarılması iddiası.
Vurgu: Veri işleyen kaynaklı olsa bile KVKK m.12/2 kapsamında veri sorumlusu “müştereken sorumlu”.
Eksikler: İhlal öncesi sızma testi/denetim raporları yok; imha/denetim adımları geç.
Sonuç: 450.000 TL idari para cezası + bildirim içeriği konusunda hatırlatma + resen inceleme.
1. Hukuki Dayanak: KVKK m.12 & m.18 ve “Müşterek Sorumluluk”
Kurul, değerlendirmesini ağırlıklı olarak KVKK m.12 (veri güvenliği yükümlülüğü) ve KVKK m.18 (idari para cezaları) çerçevesinde yapmıştır. Kararda özellikle KVKK m.12/2 hükmüne vurgu yapılmıştır:
“Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”
1.1. Kararın Ana Mesajı: “Outsource” = Sorumluluk Devri Değil
- Veri işleyen (ör. e-ticaret entegrasyon hizmeti sağlayıcısı) ihlalin kaynağı olsa dahi, veri sorumlusu “benim sistemim değil” diyerek sorumluluktan tamamen kurtulamaz.
- Veri sorumlusu, veri işleyenin uygun güvenlik düzeyini sağlamasını garanti altına alacak denetim ve sözleşmesel tedbirleri kurgulamalıdır.
- İhlal öncesi risk yönetimi (test, denetim, düzeltim, imha takibi) kararda belirleyici unsurdur.
1.2. Uygulamadaki Karşılığı
Bu karar, “tedbir” kavramını yalnızca teknik önlemlerle sınırlı görmez; sözleşme, denetim, takip ve imha süreçlerini de kapsar. Kurumsal açıdan asgari beklenti; veri işleyen yönetimi ve periyodik güvenlik testleri ile hesap verebilir bir sistem kurmaktır.
2. İhlalin Özeti: Olay Akışı, Etkilenen Kişiler ve Veri Kategorileri
| Karar Tarihi | Karar No | Konu |
|---|---|---|
| 07/10/2021 | 2021/1021 | Mağazacılık faaliyeti yürüten veri sorumlusunun veri ihlal bildirimi |
2.1. Bildirime Konu Temel İddialar
- 4.792 müşteriye ait kişisel verilerin, internet üzerindeki bir forum sitesinde satılmaya çalışıldığı iddia edilmiştir.
- İhlalin, daha önce hizmet alınan ve artık ilişiği bulunmayan bir veri işleyenin sistemlerinde gerçekleşmiş olabileceği değerlendirilmiştir.
- Forumdaki kullanıcı, başka veri sorumlularının müşteri verilerini de aynı platformda satışa çıkarmış; bu veri sorumlularının da aynı veri işleyenden entegrasyon hizmeti aldığı/almakta olduğu haricen öğrenilmiştir.
2.2. Etkilenen Veri Kategorileri (Kararda Yer Verilen)
Karar özetine göre ihlalden etkilenen veri kategorileri ve kişi sayıları şu şekildedir (özet):
| Veri Kategorisi | Etkilenen Kişi Sayısı | Not |
|---|---|---|
| E-posta adresi, siteye son giriş tarihi, şifrelenmiş parola | 4.792 | Hesap güvenliği açısından yüksek risk doğurabilir. |
| Ad ve soyad | 4.616 | Kimliklendirme ve hedefli dolandırıcılık riskini artırır. |
| Telefon numarası | 4.536 | SMS/arama dolandırıcılığı, sosyal mühendislik riski. |
| T.C. kimlik numarası | 33 | Kimlik hırsızlığı riski bakımından kritik. |
| Sipariş tutarı | 1.669 | Finansal profil çıkarımı yapılabilir. |
| Adres | 67 | Fiziksel güvenlik ve mahremiyet riski. |
| Sipariş sayısı | 1.749 | Davranışsal profil ve pazarlama riski. |
| Siteye kayıt tarihi | 1.714 | Hesap geçmişi ve ilişki yoğunluğu analizi. |
| Şifrelenmiş cinsiyet | 2.176 | Özel nitelik değil; ancak profil riski yaratabilir. |
| Doğum tarihi | 3.337 | Kimlik doğrulama sorularında kötüye kullanım riski. |
2.3. Bildirim ve Müdahale Adımları (Özet)
- Veri işleyene ihtarname gönderilerek, ihlale konu verilerin 1 iş günü içinde imhası ve imha tutanağı ile ihlal analizi raporunun belirli süre içinde iletilmesi talep edilmiştir.
- Etkilenen 4.792 kişinin tamamına ihlale ilişkin bilgilendirme yapıldığı beyan edilmiştir.
3. Kurulun Değerlendirmesi: Denetim/Sızma Testi Eksikleri & Bildirim Standardı
3.1. Veri İşleyen Kaynaklı İddia ve Müşterek Sorumluluk
Kurul, forum ekran görüntülerinde aynı kullanıcı tarafından aynı tarihte farklı veri sorumlularına ait verilerin satışa çıkarılmasını; veri sorumlusunun “verilerin veri işleyen sistemlerinden elde edilmiş olabileceği” iddiasını destekleyen bir gösterge olarak değerlendirmiştir. Buna rağmen, KVKK m.12/2 kapsamında veri sorumlusunun yükümlülüklerinin ortadan kalkmadığını açıkça belirtmiştir.
3.2. Denetim ve Sızma Testi Eksiklikleri
- Veri işleyenin kişisel verileri muhafaza ettiği ortamlara ilişkin ihlal öncesi sızma testi raporu bulunmaması; veri sorumlusunun veri işleyen tarafındaki zafiyetleri öngöremediği ve denetim tedbirlerini yeterince uygulamadığı şeklinde değerlendirilmiştir.
- Veri sorumlusu sunucularında da ihlal öncesi sızma testi yapılmadığı; ihlal sonrası testlerde düşük/orta/yüksek riskli zafiyetler tespit edildiği belirtilmiştir.
- İlişkinin bitiminde yapılması gereken imha/retention kontrolünün ihlalden sonra yapılması, özensizlik göstergesi kabul edilmiştir.
3.3. Etki ve Risk Değerlendirmesi
Kurul; kişi sayısının yüksek olması, verilerin satışa çıkarılması ve forumun kötü şöhreti gibi unsurları dikkate alarak, ihlalin ilgili kişiler üzerinde olumsuz sonuç doğurma riski taşıdığı değerlendirmesinde bulunmuştur.
3.4. Kuruma Bildirim (72 Saat) ve İlgili Kişiye Bildirim İçeriği
- İhlalin, Kurulun 2019/10 sayılı kararındaki yaklaşım doğrultusunda, öğrenilmesinden itibaren başlayan 72 saat içinde Kuruma bildirildiği ifade edilmiştir.
- İlgili kişilere iki aşamalı bilgilendirme yapılmış; ancak ilk bildirimin Kurulun 2019/271 sayılı kararında belirtilen asgari unsurları içermediği değerlendirilmiştir.
- İkinci (detaylı) yazının sadece talep edenlere gönderilmesi; talep etmeyen kişilerin yeterli bilgiye ulaşamaması riski nedeniyle, sonraki ihlallerde tüm etkilenenleri kapsayacak şekilde uygun içerikte bildirim yapılması hatırlatılmıştır.
4. Kurumsal Örnek Senaryolar: Veri İşleyen Yönetimi ve Güvenlik Programı
2021/1021 sayılı karar; e-ticaret entegrasyonu, çağrı merkezi, bulut altyapısı, CRM/ERP gibi üçüncü taraf hizmetlerle çalışan veri sorumluları için, “vendor / veri işleyen yönetimi” programının kritik olduğunu gösterir. Aşağıdaki senaryolar, karardan çıkarılabilecek somut dersleri örnekler.
4.1. Veri İşleyen (Tedarikçi) Denetimi ve Sözleşme Yönetimi
- Sözleşmede; teknik/idarî tedbirler, alt yüklenici kullanımı, loglama, şifreleme, erişim yetkisi ve olay müdahale süreleri açıkça düzenlenir.
- Veri işleyenden periyodik güvenlik raporu (zafiyet taraması/sızma testi, sertifikasyon, denetim çıktısı) talep edilir.
- İlişki bittiğinde imha/devir süreci tutanakla yönetilir; “silindi” beyanı tek başına yeterli görülmez.
4.2. Sızma Testi ve Zafiyet Yönetimi Programı
Kararda ihlal öncesi test eksikliği, ihlal sonrası testlerde zafiyet tespitiyle birlikte değerlendirildiğinden; kurum içi güvenlik programı şu başlıkları içermelidir:
- Periyodik sızma testi (yılda en az 1 veya risk temelli daha sık),
- Zafiyet yönetimi (bulgu → düzeltim → doğrulama),
- Varlık envanteri ve kritik sistemlerin sınıflandırılması,
- Loglama & izleme ile olay tespit kapasitesi.
4.3. İlgili Kişi Bildirim Şablonu (Asgari İçerik Mantığı)
Kurul kararları genel olarak, ilgili kişiye bildirimde “ne oldu, ne etkilendi, ne yapmalıyım?” ekseninin karşılanmasını bekler. Kurumsal pratikte:
- İhlalin niteliği ve tarihi (biliniyorsa),
- Etkilenen veri kategorileri,
- Olası riskler ve kullanıcıya öneriler (parola değiştirme, oltalama uyarısı vb.),
- Alınan/planlanan önlemler ve iletişim kanalı
gibi unsurları içeren kısa, anlaşılır bir metin hazırlanır; “talep edenlere detay” yaklaşımı yerine, herkesin temel bilgiye ulaşacağı biçimde tasarlanır.
5. Uyum, Riskler ve En İyi Uygulamalar (Kontrol Listesi)
5.1. Başlıca Riskler
- Tedarikçi körlüğü: Veri işleyen tarafındaki risklerin raporlanmaması ve denetlenmemesi.
- Önleyici test eksikliği: İhlal öncesi sızma testi/zafiyet yönetimi yapılmaması.
- İmha/retention zafiyeti: İlişki bitince verinin silindiğinin teyit edilmemesi.
- Bildirim kalitesi: İlgili kişiye bildirimin asgari unsurları içermemesi.
- İtibar ve dolandırıcılık: Forumda satışa çıkan verilerle sosyal mühendislik ve hesap ele geçirme riski.
5.2. En İyi Uygulamalar
- Veri işleyen sözleşmelerinde güvenlik ekleri ve denetim hakkı (audit) tanımlayın.
- Periyodik sızma testi + bulgu kapatma SLA’ları oluşturun.
- İhlal müdahale planı: tespit, sınırlama, delil koruma, bildirim, kullanıcı bilgilendirme ve iyileştirme adımlarını dokümante edin.
- İlgili kişi bildirimlerinde “tek aşamada yeterli bilgi” prensibini uygulayın.
- Veri envanteri/VERBİS kayıtlarının güncelliğini ve tedarikçi veri akışlarını düzenli kontrol edin.
5.3. Hızlı Kontrol Listesi
| Kontrol | Hedef | Pratik Çıktı |
|---|---|---|
| Veri işleyen sözleşmesi | Teknik/idarî tedbirleri netleştirmek | Güvenlik ekleri + denetim hakkı + alt işleyen şartları |
| İhlal öncesi testler | Önleyici güvenlik | Sızma testi raporu + zafiyet kapatma kayıtları |
| İmha/retention | İlişki bitince veri kalmaması | İmha tutanağı + doğrulama |
| 72 saat bildirim | Kuruma zamanında bildirim | Bildirim kayıtları + gerekçe (gecikme varsa) |
| İlgili kişiye bildirim | Herkesin yeterli bilgiye ulaşması | Asgari unsurları içeren tek/iki aşamalı plan |
6. Sık Sorulan Sorular
Veri işleyende ihlal olduysa veri sorumlusu sorumluluktan kurtulur mu?
Hayır. KVKK m.12/2 uyarınca veri sorumlusu, kişisel veriler kendi adına bir başka kişi tarafından işlense bile, gerekli teknik ve idari tedbirlerin alınması konusunda veri işleyenle birlikte müştereken sorumludur.
Kuruma bildirim 72 saat içinde yapılmışsa süreç tamam mı?
72 saat, önemli bir eşiktir; ancak tek başına yeterli değildir. Bildirimin içeriği, olayın sınırlanması, delil yönetimi, iyileştirici tedbirler ve ilgili kişilerin doğru bilgilendirilmesi de denetim ve değerlendirmede önemlidir.
İlgili kişiye bildirimde neden “asgari unsurlar” önemli?
Çünkü bildirim, etkilenen kişinin riskleri anlayıp önlem alabilmesi içindir. Eksik bildirim; ilgili kişinin dolandırıcılık, hesap ele geçirme gibi risklere karşı tedbir almasını zorlaştırabilir. Kurul, herkesin yeterli bilgiye ulaşmasını sağlayacak tasarımı önemser.
Bu karardan mağazacılık/e-ticaret şirketleri hangi dersi çıkarmalı?
En kritik ders: veri işleyen yönetimi + güvenlik testleri + imha/retention + bildirim kalitesi dört sacayağı birlikte yürütülmelidir. “Hizmet sağlayıcıda oldu” savunması tek başına koruma sağlamaz; denetim ve önleyici tedbirler istenir.

