Kişisel Verileri İhlal Edilen Tüketicilerin Hakları Nelerdir?

Bu yazımızda son dönemde artan veri ihlalleri karşısında verileri ihlal edilen tüketicilerin haklarını anlatacağız.

08.04.2021 - 13:52 Yayınlanma

Kişisel Verileri İhlal Edilen Tüketicilerin Hakları Nelerdir?

Son olarak birçok tüketicinin hizmet aldığı ve sektörde tekel gibi bulunan yemeksepeti’nin başına gelen olay ile birlikte kamuoyunun gündemine gelen veri ihlallerine yakın dönemde Kişisel Verileri Koruma Kurumu’nun internet sayfasında yayınlanan bildirimler ile alışır olduk. Yapılan bu bildirimlerde genelde veri sorumlusunun müşterisi konumunda bulunan tüketicilerin verilerinin ihlal edildiği ve tüketicilerin ihlal sebebi ile zarar görebilme riski altında olduğunu görebiliyoruz.

Elbette Kişisel Veri Hukuku’nda tüketici, sağlayıcı veya satıcı gibi ayrımlar yapılmamakta ve tüm veri sahipleri için ilgili kişi tanımı yapılmaktadır. Ancak bizim bu yazımızda özellikle veri ihlali sebebi ile mağdur olan tüketicilerin haklarından bahsedilecektir.

Yemeksepeti tarafından yapılan açıklamada Yemeksepeti kullanıcı veri tabanının, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradığı ve bir güvenlik ihlali yaşandığı, Yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmının korsanlar tarafından ele geçirildiği açıklanmıştır.

Yemeksepeti tarafından yapılan açıklamada ele geçirilen verilerin kullanıcıların

- Ad – Soyad

- Doğum Tarihi

- Yemeksepeti’ne Kayıtlı Telefon Numaraları

- Yemeksepeti’ne Kayıtlı E-posta Adresleri

- Yemeksepeti’ne Kayıtlı Adres Bilgileri

- Açık Olarak Görülemeyen, SHA-256 Algoritması ile Maskelenmiş Giriş Şifreleri

Olduğu belirtilmiş ve tüketicilerin kredi kartı bilgileri ile şifrelerinin tam hallerinin güvende olduğu ifade edilmiştir.

Yemeksepeti tarafından tüketicilere açık ve samimi bir bilgilendirme gönderilmiş ve ilgili kişilerin durumdan haberdar olması sağlanmıştır. Ancak bunun dışında Kurum’a gönderilen ihlal bildirimlerine baktığımızda yakın zamanda Acer Bilgisayar’ın çalışanları, Adım Adım Oluşumu’na kayıtlı 733.000 kişinin, Fibabank’ın 13.500 müşterisinin, So Chick isimli mağazanın 4792 müşterisinin, Vatan Bilgisayar’ın 27143 müşterisinin veri ihlaline uğradığını görebiliyoruz.

Veri İhlali Halinde Tüketicilerin Hakları Nelerdir ?

Peki veri sahibi olan tüketiciler açısından Kurul’a yapılan ihlal bildirimleri yeterli midir ? Veri sorumluları bu açıklamaları yaptıktan sonra tüketicilerin (yasal ifadesi ile ilgili kişilerin) başkaca bir hakları yok mudur ? Örneğin kredi kartı bilgilerinin veya şifrelerinin tamamının veya hangi bilgilerinin korsanların eline geçip geçmediğini öğrenmesi mümkün değil midir ?

Konu ile ilgili yasal düzenlemele baktığımızda;

Kişisel Verilerin Korunması Kanunu’nun 12.maddesine göre; veri sorumlusu

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Yasanın 11.maddesi ile de Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

haklarına sahiptir.

Dolayısı ile Kurum’un internet sayfasından veri ihlalini öğrenen bir tüketicinin yasanın 11.maddesinde belirtiği şekilde veri sorumlusuna başvurarak hangi verilerinin ihlal edildiğini daha açık ve net olarak öğrenebilme imkanı bulunmaktadır. Bu noktada tüketicinin genel bir bilgi alabilmesinden değil sadece kendisi ile ilgili bilgi alabilmesinden bahsedebiliriz. Yani bir tüketici Kurum’un internet sayfasında açıklanan ihlal bildiriminin içinde kendisinin olup olmadığını öğrenebilecektir.

Veri İhlali Halinde Tüketicilerin Başvuru Yöntemleri

Kanunun 14. Maddesi uyarınca tüketici taleplerini öncelikli olarak veri sorumlusuna iletmek zorundadır. Başvurusun reddedilmesi, başvuruya süresi içinde cevap verilmemesi ya da cevabın yetersiz olması halinde ilgili kişi Kurula şikâyet yoluyla başvurabilir.

Konu ile ilgili Kişisel Verileri Koruma Kurumu tarafından 10.03.2018 tarihinde Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ yayınlanmış olup bu başvurunun şekil ve usulü düzenlenmiştir.

Tüketicinin veri sorumlusuna yapabileceği başvurunun usul ve yöntemlerini https://ilgilikisi.com/ilgili-kisinin-haklarini-kullanma-ve-koruma-yontemleri.html adresinde anlatmıştık.

Özetle tüketici başvurusunu yazılı olarak veya Kayıtlı Elektronik Posta ile veya veri sorumlusunun sisteminde kayıtlı olan e-postası veya veri sorumlusu tarafından bu amaçla geliştirilip hizmete sunulmuş ve sistem ile yapabilecektir.

Başvuruda tüketicinin adı soyadı, T.C kimlik numarası, adresi ve talep konusu gösterilmelidir.

Başvuruyu alan veri sorumlusunun tüketiciye 30 gün içinde cevap vermesi gerekir. Tüketiciye cevap verilmemesi veya verilen cevabın yeterli gelmemesi halinde tüketicinin 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikayette bulunma hakkı olacaktır.

Veri İhlali Halinde Tüketicilerin Tazminat Hakkı

Kurul’a yapılacak şikayetin konusu tüketicinin verisinin ihlal edilip edilmediği konusunda bilgi alınması olabileceği gibi veri güvenliğini sağlayamayan veri sorumlusunun cezalandırılması talepli de olabilir.

Bu durumda veri ihlali sebebi ile mağdur olan tüketici veri sorumlusunun 12.maddedeki yükümlülüklerini yerine getirmemesi sebebi ile veri sorumlusunun idari para cezası almasını sağlayabilecektir.

Ayrıca verisi ihlal edildiğine dair bilgi alan tüketicinin ayrıca veri ihlali sebebi ile bir zarar görmesi ve bu zararını ispat etmesi halinde Kişisel Verilerin Korunması Kanunu’nun 14/3 maddesi ve Borçlar Kanunu’nun genel hükümlerine göre veri sorumlusuna karşı maddi ve manevi tazminat davası açma hakkı da bulunmaktadır.

Av. Eren Evren