Makale Detay

 
Beyzanur yaman | YURTSEVEN HUKUK BÜROSU

YEMEKSEPETİNİN HACKLENMESİ VE VERİ İHLALİ BİLDİRİMİ



Türkiye‟nin en büyük çevrimiçi yemek sipariş uygulaması olan, yaklaşık 2,5 milyar ciroya sahip Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ, 6698 sayılı Kişisel Verilerin Korunması Kanununun; “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü uyarınca KVKK‟ ya veri ihlaline uğradığını bildirdi ve kamu oyuna veri ihlaline dair açıklama metni yayınladı.

KVK Kurumunun açıklamasına göre Yemeksepeti‟nin bir web uygulamasına erişim 18 Mart tarihinde oldu. Yemeksepeti ise bu erişimi 25 Mart‟ta fark ederek KVKK‟ye bildirdi. Aynı açıklamada Yemeksepeti‟ne bir ceza kesilip kesilmemesi yer almıyor. Firmanın kendi sitesinde yaptığı açıklamaya göre veri ihlali bildiriminin KVVK (Kişisel Verileri Koruma Kurumu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığına yapıldığı; ele geçirilen verilerin;

• Ad

— Soyad

• Doğum Tarihi

• Yemeksepeti‟ne Kayıtlı, Telefon Numaraları, E-posta Adresleri, Adres Bilgileri

• Açık Olarak Görülemeyen, SHA-256 Algoritması ile Maskelenmiş Giriş Şifreleri, olduğu açıklandı.

Yemeksepeti veya herhangi bir veri sorumlusu kendi kusuru ile gerekli önlemleri almayarak ya da yeterince almayarak ya da aldığı önlemler teknolojik gelişmeler karşısında güncellemediği için yetersiz hale gelmişse, bu tür durumlarda veri sorumlusu kusurundan söz edebiliriz. Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebep verdiğinde ise, olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür. Ancak bundan söz edebilmek için uğranılan zararla, fiil arasında (yani veri sorumlusunun eksik aldığı, hatalı aldığı ya da almadığı önlem arasında bir illiyet bağı olması gerekiyor. Kullanıcı şifresini „123456‟ şeklinde belirlendiği bir durumda şifre basit olduğu gerekçesiyle ihlalin gerçekleştiği kabul edildiğinde ise burada gerçekleşen veri ihlalinin siber güvenlik eksikliğinden kaynaklı olmadığının kabulü ile illiyet bağı kesilmiş olduğundan veri sorumlusuna önlem almamasından kaynaklı kusur izafe edilemeyecektir ve bu sebeple sorumluluğundan bahsedilemeyecektir. Ancak Yemeksepeti kullanıcısı, ifşa olan bilgileri nedeniyle, (mesela Müslümanların domuz eti yememesi gibi ya da etrafınca Müslüman olarak bilinen kişinin domuz eti siparişinin ifşa edilmesi gibi) doğrudan zarara uğrayabilir.

Veri Sorumlusu 6698 sy. Kanun ve bu Kanun gereğince KVK Kurumu tarafından yapılan düzenlemelere uygun teknik ve idari tedbirleri almamış ise bunun sonucunda Kanun‟un 18.md./1.-b bendi gereğince 1.966,862 TL‟ye kadar para cezası yaptırımı ile cezalandırılabilecektir. Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebep verdiğinde ise, bu olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür. Meydana gelebilecek olan veri ihlali ile ortaya çıkacak maddi ve manevi zararların meydana gelmesi çok istisnai olarak düşünülüyor olsa da veri bilgisinin yeni petrol olarak görüldüğü bu çağda yaşayan bizler için öngöremeyeceğimiz sonuçlara sebebiyet verebilir. Şahıslar hangi verilerinin ihlal edildiğini öğrenmek istedikleri takdirde KVKK‟ya başvuruda bulunabilirler. 


Legala Sosyal Medya

Bu site, site deneyimlerinizi analiz etmek, içerikleri kişiselleştirmek, ziyaret tercihlerinizi hatırlamak, site kullanım istatistiklerini raporlamak için çerezler kullanılmaktadır. Bu konu hakkında detaylı bilgi almak için Çerez(Cookie) Politikası ve KVVK aydınlatma metni sayfalarını incelemenizi rica ederiz.

Kabul Et