KVKK 2020/50 Karar Özeti: Perakende Giyim Firması Veri İhlali (URL Üzerinden Veri Sızıntısı)

KVKK · Karar Özeti · Veri İhlali

KVKK 2020/50 Karar Özeti Perakende Giyim Firmasında URL Üzerinden Kişisel Veri Sızıntısı

Kişisel Verileri Koruma Kurulu’nun 20/01/2020 tarihli ve 2020/50 sayılı kararında, bir perakende giyim firmasının dijital kanallarında gerçekleşen veri ihlali; yeni hesap açılışı sırasında bazı kişisel verilerin yanlışlıkla URL üzerinden şirketin iç sistemlerine ve bazı üçüncü taraf sağlayıcılara aktarılması şeklinde değerlendirilmiştir.

Kararda özellikle; log/takip-alarm mekanizmalarının yetersizliği nedeniyle ihlalin geç tespit edilmesi ve web tasarım/test süreçlerinin zafiyet doğuracak şekilde kurgulanması gibi unsurlar, KVKK m.12/1 kapsamındaki “gerekli teknik ve idari tedbir” yükümlülüğü ile ilişkilendirilmiştir.

Hukuki Dayanak & Karar Teknik Analiz & Riskler

İçindekiler 1. Kararın Çerçevesi ve Hukuki Dayanak 2. İhlal Senaryosu: URL, Etiket Yönetimi ve Üçüncü Taraflar 3. Teknik Analiz: Kök Nedenler ve Risk Değerlendirmesi 4. Kurumsal Aksiyon Planı: İlk 72 Saat ve Sonrası 5. Uyum, Riskler ve En İyi Uygulamalar 6. Sık Sorulan Sorular

Hızlı Özet

Olay: Hesap açılışı sırasında bazı verilerin URL üzerinden iç sistemlere ve bazı üçüncü taraflara aktarılması.
Etkilenen kişi sayısı: 44.
Etkilenen veriler: Zorunlu alan e-posta, doğum tarihi, açık metin parola; ayrıca ad-soyad etkilenmiş olabilir.
Kurul değerlendirmesi: Geç tespit (yaklaşık 1 yıl) + yetersiz test ve izleme → KVKK m.12/1 ihlali.
Sonuç: 50.000 TL idari para cezası (m.18/1-b).

2020/50 URL Veri Sızıntısı Tag Management Açık Metin Parola Riski KVKK m.12

Kritik çıkarım: URL üzerinden veri sızıntısı, çoğu zaman “küçük bir uygulama hatası” gibi görünse de; parola/kimlik bilgisi gibi veriler söz konusuysa etkisi hızla büyür. Bu nedenle; güvenli yazılım geliştirme yaşam döngüsü (SSDLC), izleme/alarm ve üçüncü taraf yönetimi birlikte ele alınmalıdır.

1. Kararın Çerçevesi ve Hukuki Dayanak

Kurul, incelemesini temelde KVKK m.12 (veri güvenliğine ilişkin yükümlülükler) ve KVKK m.18 (idari para cezaları) çerçevesinde yürütmüştür.

1.1. KVKK m.12/1: Teknik ve İdari Tedbir Yükümlülüğü

Kararın omurgası; veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, muhafazayı sağlamak için uygun güvenlik düzeyini temin edecek gerekli teknik ve idari tedbirleri almamış olduğu değerlendirmesidir.

1.2. KVKK m.18/1-b: İdari Para Cezası

Kurul; ihlalin web tasarım/test yetersizliği ve izleme-alarm/denetim eksikliği nedeniyle geç fark edilmesini, m.12/1 kapsamında kusur göstergesi olarak görmüş ve 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Uygulama notu: Dijital ürünlerde güvenlik, “yayına aldıktan sonra” değil; tasarım + geliştirme + test + izleme bütününde kurulmalıdır. Kurul kararları, özellikle loglama/izleme eksikliğini sıkça “geç tespit”in nedeni olarak yorumlamaktadır.

2. İhlal Senaryosu: URL, Etiket Yönetimi ve Üçüncü Taraflar

Bildirime göre ihlal; bazı müşteriler yeni hesap açarken girilen verilerin, bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf sağlayıcılara sehven aktarılması şeklinde gerçekleşmiştir. Olay, veri sorumlusunun olağan denetimi sırasında tespit edilmiştir.

Bileşen	Karardaki İşaret	Kurumsal Anlamı
URL üzerinden veri aktarımı	Hesap açılışında bazı alanların URL parametreleriyle taşınması	Referrer/log/3. taraf araçlara “istenmeyen görünürlük” riski
Analytics sağlayıcıları	İki sağlayıcı, verilerin otomatik silindiğini teyit etmiş	3. taraf sözleşme/işleme şartları ve kayıt/kanıt ihtiyacı
Etiket yönetim sistemi	Başka URL’lerin tag management sistemine yönlendiği anlaşılmış	Etiket/izleme katmanında yanlış kural → yaygın sızıntı yüzeyi
Etkilenen kapsam	Türkiye’deki ilgili kişilerin 7 URL’den 2’sinden etkilendiği belirtilmiş	Bölgesel/ülkesel etki analizi ve segmentli bildirim ihtiyacı

2.1. Etkilenen Kişiler ve Veri Kategorileri

Etkilenen kişi sayısı: 44
İlgili kişi grupları: Aboneler/üyeler, müşteriler/potansiyel müşteriler
Etkilenen veriler: Zorunlu alan e-posta, doğum tarihi, açık metin (plain text) parola; ayrıca zorunlu olmayan ad-soyad verisi de etkilenmiş olabilir.

Özellikle önemli: Parolanın “açık metin” olarak işlenmesi/taşınması, yalnızca KVKK değil, güvenlik standartları açısından da yüksek risk göstergesidir. Bu tür bir veri, sızıntı halinde hesap ele geçirme ve zincirleme ihlal riskini artırır.

3. Teknik Analiz: Kök Nedenler ve Risk Değerlendirmesi

3.1. Kök Nedenler (Kurulun İma Ettiği Zayıflıklar)

İzleme ve alarm eksikliği: 01.08.2018 ve 21.10.2018’de gerçekleşen ihlallerin, yaklaşık 1 yıl sonra tespit edilmesi; etkin log/izleme mekanizmalarının olmadığını veya etkin kullanılmadığını düşündürür.
Yetersiz test süreci: URL üzerinden verinin üçüncü taraflarca görülebilmesi; web sayfası tasarım aşamasında güvenlik odaklı testlerin yetersizliğine işaret eder.
Etiket yönetimi riski: Tag management/analytics katmanı, hatalı yönlendirme veya kural ile kişisel verinin “yan kanal” üzerinden taşınmasına neden olabilir.

3.2. Risk Etkisi Neden Yüksek?

E-posta + doğum tarihi + (en kritik olarak) açık metin parola kombinasyonu; kimlik doğrulama süreçlerini ve kullanıcı hesaplarını doğrudan etkiler. Riskler:

Hesap ele geçirme: Parola tekrar kullanımı yaygın olduğundan farklı platformlarda da etki oluşabilir.
Kimlik avı (phishing): Doğum tarihi gibi bilgiler kişiselleştirilmiş saldırıları kolaylaştırır.
İtibar ve güven kaybı: Perakende sektöründe sadakat/abonelik ilişkisi doğrudan zarar görür.
Üçüncü taraf zinciri: Analitik/etiket araçları, veri işleyen ekosistemi büyüttüğü için denetim yükü artar.

3.3. “URL’de Veri Taşımayın” Kuralı (Pratik Kontrol Listesi)

Form verilerini URL parametresi ile taşımayın (özellikle parola/kimlik verisi).
Referrer Policy uygulayın (ör. strict-origin-when-cross-origin).
Etiket yönetiminde PII/kişisel veri filtreleri (redaction) uygulayın.
Analytics’te “PII toplama”yı engelleyen yapılandırmaları zorunlu kılın.
Loglarda kişisel veri maskeleme/anonimleştirme yapın.

4. Kurumsal Aksiyon Planı: İlk 72 Saat ve Sonrası

Bu tür vakalarda amaç; sızıntıyı durdurmak, etkiyi azaltmak, kanıtı korumak ve KVKK uyum yükümlülüklerini eksiksiz yerine getirmektir. Aşağıdaki plan, perakende/e-ticaret operasyonlarına uygun pratik bir çerçevedir.

4.1. İlk Müdahale (0–24 Saat)

URL/etiket kuralını derhal devre dışı bırakın, sorumlu sürümü geri alın.
İhlal yüzeyini doğrulayın: etkilenen URL listesi, tarih aralığı, etkilenen kullanıcı sayısı.
Log ve kanıtları bütünlüğü bozulmadan toplayın (erişim kayıtları, tag yönetimi değişiklik kayıtları).
Parola güvenliği: Etkilenen hesaplar için zorunlu parola sıfırlama planlayın.

4.2. 24–72 Saat: Bildirim ve İletişim

İç paydaşlar: DPO/uyum, hukuk, IT güvenlik, ürün, müşteri iletişim merkezi.
Üçüncü taraflar: analytics/tag sağlayıcılarından silme/retention teyidi + kayıt altına alma.
İlgili kişilere bildirim: açık, anlaşılır, eylem odaklı (parola değişikliği, şüpheli işlem uyarısı vb.).

4.3. 7–30 Gün: Kalıcı İyileştirme

SSDLC: güvenlik gereksinimleri + kod inceleme + sızma testi + yayın öncesi kontrol kapısı.
İzleme/Alarm: anomali tespiti, PII sızıntı algılama, tag değişiklik denetimi.
Parola mimarisi: parolayı hiçbir aşamada açık metin taşımama; güvenli hash (uygun algoritmalar) ve güvenli reset akışı.
Veri envanteri: işlenen veri kategorileri + üçüncü taraflar + aktarım noktaları güncellemesi.

Öneri: Etiket yönetim sistemleri “pazarlama aracı” gibi görülse de, çoğu zaman kişisel veri akışının merkezi haline gelir. Bu nedenle değişiklikleri onaylı süreç + kayıt + geri alma planı ile yönetin.

5. Uyum, Riskler ve En İyi Uygulamalar

2020/50 kararı, e-ticaret/perakende dijital süreçlerinde iki alanın özellikle kritik olduğunu gösterir: (i) güvenli tasarım & test ve (ii) izleme & erken tespit.

5.1. Başlıca Uyum Riskleri

Geç tespit riski: Log/izleme eksikliği → olayın aylar sonra öğrenilmesi.
Üçüncü taraf riski: Analytics/tag sağlayıcılarıyla veri işleme/aktarım sınırlarının net olmaması.
Parola güvenliği riski: Açık metin parola → yüksek etki + yüksek itibar kaybı.
Yayın öncesi kontrol eksikliği: Test yapılmadan prod’a çıkan değişiklikler.

5.2. En İyi Uygulamalar (Perakende & E-Ticaret İçin)

PII-free URL politikası: URL’lerde kişisel veri bulundurmayı yasaklayan kurumsal standart.
Tag governance: Etiket yönetiminde rol-yetki, değişiklik kaydı, onay ve geri alma.
Referrer / CSP / güvenlik başlıkları: veri sızıntısını azaltan tarayıcı politikaları.
Üçüncü taraf sözleşmeleri: veri işleyen yükümlülükleri, silme/retention, alt işleyen listesi, denetim hakkı.
Periyodik sızma testi: kayıt/oturum/hesap açma akışları, form ve yönlendirme kontrolleri.

Mini kontrol: “Parola” kelimesi URL, log, analytics event veya tag parametresi içinde geçiyorsa, bu tek başına acil inceleme sebebidir.

KVKK 2020/50 Perakende Giyim Veri İhlali URL Üzerinden Veri Sızıntısı Tag Management KVKK m.12 Teknik İdari Tedbir

6. Sık Sorulan Sorular

URL üzerinden veri aktarımı neden bu kadar riskli?

URL; tarayıcı geçmişi, loglar, üçüncü taraf analiz araçları ve yönlendirme (referrer) gibi kanallarda görünür hale gelebilir. Bu nedenle URL’ye eklenen kişisel veri, fark edilmeden çok geniş bir ekosisteme yayılabilir.

Açık metin parola verisi “tek başına” ihlal ağırlığını artırır mı?

Evet. Açık metin parola, hesap güvenliğini doğrudan etkilediği için olayın etkisini büyütür. Uygulamada parola hiçbir aşamada açık metin olarak taşınmamalı; güvenli saklama ve sıfırlama süreçleri tasarlanmalıdır.

Üçüncü taraf sağlayıcı “verileri sildik” derse sorumluluk biter mi?

Hayır. Veri sorumlusu; üçüncü tarafların rolünü (veri işleyen/aktarımı alan), sözleşmesel yükümlülükleri ve teknik kontrolleri yönetmek zorundadır. Silme teyidi önemlidir; ancak kayıt altına alınması, kök nedenin giderilmesi ve tekrarını önleyecek kontrollerin kurulması gerekir.

Bu kararın kurumlara verdiği en net mesaj nedir?

“Geç tespit” ve “yetersiz test” çoğu zaman KVKK m.12/1 kapsamında tedbir eksikliği olarak yorumlanır. Dijital ürünlerde güvenlik; tasarım-test-izleme zincirinin tamamında kurulmalıdır.