Görüntülediğiniz mahkeme kararı henüz kesinleşmemiştir. Yararlı olması amacıyla eklenmiştir.
T.C.
İSTANBUL
4. ASLİYE TİCARET MAHKEMESİ
ESAS NO : 2022/100 Esas
KARAR NO : 2023/534
DAVA : Tazminat (Rücuen)
DAVA TARİHİ : 11/02/2022
KARAR TARİHİ : 14/06/2023
Mahkememizde görülmekte olan Tazminat (Rücuen) davasının yapılan açık yargılaması sonunda,
GEREĞİ DÜŞÜNÜLDÜ:
DAVA VE TALEP :
Davacı vekili dava dilekçesinde özetle; “…” olarak da anılan davalı şirketin 2018-2020 yılları arasında davacı şirkete ait e-ticaret sitesini yönettiğini, davacının 4.792 müşterisine ait kişisel verilerin internet üzerinden bir forum sitesinde satılmaya çalışıldığına ilişkin Bilişim Teknolojileri Kurumu bildirimi ile davalı şirketin, hizmet akdinin sonlanmasının ardından imha edilmesi gereken müşterilere ait kişisel verileri, hukuka aykırı şekilde sistemlerinde muhafaza ederek KVKK 7. maddesine uygun şekilde imha etmediğinin anlaşıldığını, nitekim hizmet akdi sonlanması ile müvekkili şirket yetkililerince davalı şirkete kişisel verilerin muhafaza edildiği sistemlerin kapatılması, yani bu verilerin imha edilmesi yazılı şekilde ihtar edildiğini, ardından davalı şirketten sızıntıya ilişkin raporların talep edilmesine rağmen bu belgelerin müvekkili şirkete verilmekten imtina edildiğini, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından, müvekkilinin veri sorumlusu olduğu 2017-2018 dönemine ait müşterilerinin kişisel verilerine ilişkin veri ihlali sebebiyle müvekkili şirkete 450.000,00-TL idari para cezasına karar verildiğini (“… Sayılı Karar”) ancak dava konusu ihlal kapsamında müvekkili şirket ile davalının birlikte müşterek veri sorumlusu olduğunu, KVKK m.12/1 uyarınca veri sorumlusu ve veri işleyenin müştereken sorumlu olsa da asıl sorumlunun, hizmet akdinin sonlanmasına rağmen verileri imha etmeyerek ve veri güvenliğine ilişkin gerekli tedbirleri almayarak verilerin ihlallere konu olmasına sebep olan davalı şirket olduğunu, iletmiş oldukları ekran görüntülerinde forum sitelerinde hacker’larca yapılan konuşmalardan tespit edildiği üzere davalıdan e-ticaret entegrasyonu konulu hizmet alan farklı şirketlerin müşterilerine ait kişisel verilerin de aynı kullanıcı tarafından aynı internet sitesi üzerinden aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceğini ve verilerin davalı sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına dayanak teşkil ettiğini, verileri paylaşılan 4.792 kişinin davalı şirketten e-ticaret hizmeti alınan 2017-2018 yıllarına ait müvekkili şirket müşterisi olduğunu, kalan 10.208 kişinin ise davalı şirketin hizmet sunduğu diğer firmaların müşterileri olduğunu, satışı yapılan kişisel veriler listesindeki 15.000 kişinin tamamının, her biri için ayrı bir sayı verilmek suretiyle davalı şirkete özgü …-kodları ile şifrelendiğini, “…” kodundaki … harfinin …A.Ş.’nin T’si olduğu, müvekkilinin bir kusurunun bulunmadığını, bu nedenlerle Kurul’a ifa edilen idari para cezasına kusurlu davranışı ile sebebiyet veren davalıdan tahsili gerektiğini ileri sürerek müvekkili şirket tarafından ifa edilen idari para cezasına kusurlu davranışı ile sebebiyet veren davalıdan yapılacak yargılama ve bilirkişi incelemesi ile ortaya çıkacak kusur oranında belirli hale gelecek olan tazminatın, belirli hale geldiğinde arttırılmak üzere şimdilik 1.000-TL sinin tahsili ile bilirkişi incelemesi sonucu ortaya çıkacak tutarın dava tarihinden itibaren işleyecek ticari avans faizinin rücuan tahsiline, vekalet ücreti dahil olmak üzere yargılama giderlerinin davalı taraf üzerine bırakılmasına karar verilmesini talep ve dava etmiştir.
Davacı vekili 12/05/2023 tarihli talep arttırım dilekçesi ile, müvekkili tarafından ödenen 337.500-TL’nin % 50’si olan 168.750-TL’den, dava dilekçesinde talep ettikleri 1.000-TL’nin mahsubu ile taleplerinin 167.750-TL arttırılarak, 168.750,00-TL tazminat alacağının, dava tarihinden itibaren işleyecek ticari avans faizi ile birlikte davalı şirketten tahsili talep etmiştir.
CEVAP :
Davalı vekili davaya cevap dilekçesinde özetle; Belirsiz alacak davası açılamayacağını, davacı ile müvekkili arasında imzalanan sözleşmenin bitiminden sonra müvekkilinin, davacı adına işlenen verileri talep edildiği halde kanuna aykırı olarak imha etmediği ve ilgili veri sızıntısının verilerin imha edilmemesi sebebiyle oluştuğu iddiasının hiçbir ilişkisi bulunmadığını, müvekkilinin bu hususta hiçbir sorumluluğu bulunmadığını, davacı tarafından Haziran 2020’de aralarındaki hizmet sözleşmesinin yenileme dönemi sonrası için başka bir e-ticaret hizmet sağlayıcısı ile anlaştıklarının müvekkiline bildiriminin ardından Ekim 2020’de sunucuların tamamen erişime kapatıldığını, iletişim ve verisi bulunmayan davacı için müvekkili tarafından şirketin 4 yıl öncesine ilişkin bir veri sızıntısı çalışması yapması mümkün olmadığını, davacıya müşteri verilerinin sözleşme bitim tarihinde silindiğini, müvekkilinin bünyesinde kayıtlı veri kalmadığı hususunuN karşı ihtar ile bildirildiğini, davacının hem kanunen hem de sözleşme gereği müşterilerinin kendilerinin özel sitelerinde sızma testleri yapmak gibi bir yükümlülüğünün kanunen bulunmadığını, KVKK m.12’ye göre davacı’nın veri sorumlusu olarak yükümlülüklerini yerine getirmediğini, gerekli idari ve teknik önlemleri almadığını ve bu yüzden Kurul tarafından idari para cezasına maruz kaldığını, 2021/1021 sayılı Karar’da “davalı’dan e-ticaret entegrasyonu konulu hizmet alan farklı şirketlerin müşterilerine ait kişisel verilerin de aynı kullanıcı tarafından aynı internet sitesi üzerinden aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceği ve verilerin müvekkilinin sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına dayanak teşkil ettiği” değerlendirmesinin yalnızca bir öngörü olup kanıtlanmış olmadığını, Kurul’un müvekkiline ilişkin başlatmış olduğu incelemenin halen devam ettiğini, davacı tarafından satışı yapılan kişisel veriler listesindeki 15.000 kişinin tamamının, her biri için ayrı bir sayı verilmek suretiyle müvekkiline özgü … ile şifrelendiğini, bu kodun …A.Ş.’nin …’si olduğunu, bu verilerin davalıya ait bir kaynaktan çekildiği iddiasına karşı kişisel verilerin ilk olarak müvekkilinin yazılımında işlendiği için kodun … ile başlamasının doğal olduğunu; bu nedenle verilerin müvekkili şirketin sisteminden alındığı iddiasının teknik açıdan mümkün olmadığını, … sayılı Karar’da 15.000 kişinin kişisel verisinin sızdığının, bunun 4.792 kişinin davacıya ait olduğunu tespit edildiğini ancak kalan 10.208 bin kişinin ise kararda adı geçen diğer 4 şirketin müşterileri olduğunun tespit edilmediğini, bu iddiaların hukuka aykırı işlemler yapan bir takım hacker’ların arasında geçen konuşmalar sonucu elde edilmiş doğrulanmamış ve afaki iddialardan ibaret olduğunu beyan ederek haksız ve hukuki mesnetten yoksun davanın öncelikle usulden reddine, mahkeme aksi kanaatte ise müvekkilinin haklılığı sübuta ereceği üzere, davanın esastan reddine, yargılama giderleri ve vekalet ücretinin davacı tarafa yükletilmesine karar verilmesini talep etmiştir.
DELİLLER :
Taraflar arasındaki yazılım sözleşmesi, ihtarnameler, ekran görüntüleri, yazışmalar, bilirkişi incelemesi.
DELİLLERİN DEĞERLENDİRİLMESİ KABUL VE GEREKÇE:
Davacı tarafından açılan dava, rücuen tazminat istemine ilişkindir.
Taraflar arasındaki uyuşmazlık, davalı şirketin, taraflar arasındaki hizmet akdinin sonlanmasının ardından müşterilere ait kişisel verileri imha edip etmediği, imha etmemiş olması halinde hukuki sonuçları, veri sızıntısına dayalı olarak davacı şirket tarafından ifa edilen idari para cezasına davalı şirketin sebebiyet verip vermediği, sızma testlerinin davacı tarafça yaptırılması gerekip gerekmediği, kusur oranları, davalı kusurlu ise davacının talep edebileceği tazminat miktarı, belirsiz alacak davası açılamayacağı yönündeki davalı itirazının yerinde olup olmadığı hususlarındadır.
Davanın açıldığı tarihte dava değerini tam ve kesin olarak belirleyebilmesi davacıdan beklenemeyeceğinden HMK 107.maddesi gereğince belirsiz alacak davası açılamayacağı yönündeki davalı itirazının reddine karar verilmiştir.
Deliller toplandıktan sonra mahkememizce tespit edilen uyuşmazlık konularında rapor düzenlenmesi için dosya bilirkişiler …, ve …’a tevdi edilmiş, bilirkişi raporu, dosya kapsamına uygun, ayrıntılı, açıklayıcı ve denetime elverişli olup hükme esas alınmıştır:
Davalı şirketin, taraflar arasındaki hizmet akdinin sonlanmasının ardından müşterilere ait kişisel verileri imha edip etmediğine ilişkin olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 7’ye göre “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” Davacı… ile davalı şirket arasındaki hizmet ilişkisinin Haziran 2020’de son bulduğu anlaşılmaktadır. Buna mukabil … tarafından yapılan bildirimlerde ve tarafımıza tevdi edilen dosyanın içeriğinden “…” adlı forum kullanıcısının ihlale konu verileri 31 Ocak 2021 yılında satışa çıkardığı anlaşılmaktadır. Tarafların kendi aralarında yaptıkları görüşmelerde davalı … yetkilileri hizmet akdinin sona ermesiyle birlikte davacı …’ın müşterilerine ait bütün verileri sildiklerini ifade etmelerine rağmen dosya münderecatından bu yönde bir talepte bulunduğu tespit edilememektedir. Öte yandan davalının ise uhdesinde bulunan davalının müşterilerine ait kişisel verileri sözleşmenin hitamında veya meşru sebebin ortadan kalkmasını takiben, talebe bağlı olmaksızın silmesi ve bu silme işlemini gösterir ilgili imha raporlarını ve benzeri kayıtları elinde bulundurması ve gerektiğinde ibraz edebilmesi gereklidir. Aynı şekilde davacı veri sorumlusu…’in de kişisel verilerin silinmesi ve diğer hususlarda veri işleyen …’un yükümlülüklerini yerine getirip getirmediğini kontrol etmesi…’nın veri sorumlusuna yüklediği bir yükümlülük olarak tespit ve kabul edilmektedir.
Davacının müşterilerine ait verilerin imha edilmemesinin hukuki sonuçlarına ilişkin olarak; Bir önceki paragrafta açıklanan gerekçelerden ötürü hizmet akdinin sona ermesinin ardından davacının, davalıdan müşteri verilerinin silinmesini talep etmediği, talep etmiş ise dahi bunu tevsik, takip ve teyit etmediği, öte yandan herhangi bir imha raporu ve bildirimi bulunmamakla davalının da davacının müşterilerine ait kişisel verileri sistem ve kayıtlarından silmediği anlaşılmaktadır. Kişisel verilerin hukuka aykırı olarak işlenmesini, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik önlemlerini almak ve her türlü teknik ve idari tedbirleri uygulamak kural olarak veri sorumlusunun yükümlülüğüdür. Kişisel verilerin veri sorumlusu tarafından değil de üçüncü bir kişi tarafından veri sorumlusu adına işleyen veri işleyenin varlığı halinde ise veri sorumlusu (…) ve veri işleyen (…) ilgili yasal yükümlülükler bakımından birlikte müştereken sorumludur.
Dosya münderecatına göre her ne kadar kişisel verileri uhdesinde bulunduran davalı şirket olsa da kişisel verilerin hukuka uygun bir biçimde işlendiğinden ve gerektiğinde silinmesinden, yok edilmesinden veya anonim hale getirilmesinden veri sorumlusu sıfatıyla davacı veri sorumlusu sıfatıyla sorumludur. Veri sorumlusuz davacı’nın, veri işleyen davalıyı, gerekli teknik ve idari tedbirleri alıp almadığını veri koruma hukukunda veri sorumlusuna atfedilen özenle ve yeterince takip ve tespit etmediği, verilerin zamanında silinmesi için gerekli ve/veya yeterli girişimlerde bulunmadığı, gerekli güvenlik düzeyinin veri işleyen davalı tarafından sağlandığına dair denetleme görevini gerçekleştirmediği, tarafların aralarındaki hizmet akdi sona erdiği tarihte davacı müşteri verilerinin imhası için gerekli girişimlerde bulunması gerekirken bu girişimlere ancak kendisine … tarafından ihlal bildirimi yapılan 03.02.2021 tarihinden 8 gün sonra 11.02.2021 tarihinde başladığı göz önünde bulundurulduğunda kişisel verilerin hizmet akdinin sona ermesine rağmen veri işleyen tarafından silinmemesinin veri işleyenin ve veri sorumlusunun birlikte sorumlu oldukları görüş ve kanaatine varılmıştır.
Veri sızıntısına dayalı olarak davacı şirket tarafından ifa edilen para cezasına davalı şirketin sebebiyet verip vermediğine ilişkin olarak; Kişisel Verileri Koruma Kurulu tarafından … tarihinde …. Karar No.su ile verilen kararında veri sorumlusu davacının veri sorumlusu olmanın beraberinde getirdiği yükümlülükleri gerektiği gibi yerine getirmediği, veri işleyenin kişisel verilerin korunması, işlenmesi ve silinmesi noktasında yeterli ve gerekli idari ve teknik önlemleri alıp almadığını denetlemekte yetersiz kaldığı, kendi internet sitesinde gerekli sızıntı testlerini zamanında ve ihlalden önce gerçekleştirmediği, veri ihlalinden etkilenenlerin sayıca yüksek olması ve üstelik verilerin kötü bilinen bir internet ortamında satışa sunulması gerekçeleriyle veri sorumlusu …’e 450.000 TL idari para cezasına hükmedilmiştir. Söz konusu bu para cezası sadece veri sızıntısından kaynaklanmamaktadır. Bahse konu ceza aynı zamanda yapılan veri ihlali bildirimi sonucunda gerçekleştirilen araştırmalarda veri sorumlusunun yükümlülüklerini yerine getirmediğinin tespiti sebebine dayanmaktadır. Uygulanan idari para cezasına yol açan nedenler davacının ve davalını karşılıklı kusurlu eylem ve işlemlerinin sonucunda ortaya çıkmıştır.
Ek olarak söz konusu veri sızıntısının kişisel verilerin hukuka aykırı bir biçimde satışa konu olduğu internet ortamında … adlı kullanıcı tarafından verilerin satışa sunulması ile gerçekleştiği, söz konusu internet ortamında yapılan incelemelerde aynı kullanıcının birçok farklı Türk şirketinin verilerini satmayı vadettiği ve bu Türk şirketlerin davalı …’un alt yapısını kullandığının Kişisel Verileri Koruma Kurumu yapılan incelemeler sonucunda anlaşıldığı görülmektedir. Buna göre …A.Ş.’den hizmet alan farklı şirketlerin müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sitesi üzerinden aynı tarihte satışa çıkarılmasının tesadüf olarak nitelendirilemeyeceği noktasında ciddi dayanakların olması gerekçeleriyle idari para cezasına konu gerekçelerden olan veri sızıntısına davalının sebebiyet verdiği kanaatine varılmıştır. Veri sızıntısına sebebiyet veren davalı olsa da veri sorumlusu olan davacının kişisel verilerin korunmasına için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği bu bölümde ve bir önceki bölümlerde açıklanan sebeplerle ortadadır.
Sızma testlerinin davacı tarafça yaptırılması gerekip gerekmediği; öncelikle belirtmek gerekir ki taraflar arasında akdedilen sözleşme niteliği ve kapsamı itibariyle oldukça kısa ve detaysızdır. Sözleşmede kişisel verilerin işlenmesi ve sair hususlarda yeterli hükümler bulunmamaktadır. Sözleşme, veri güvenliğinin sağlanması noktasında tarafların hak ve yükümlülüklerine dair açık düzenlemelerden yoksundur. Veri güvenliğini sağlamak adına veri işleyen ve veri sorumlularının sistemlerinde gerekli idari ve teknik önlemlerin kim tarafından ve nasıl alınacağına ilişkin sözleşmede hüküm bulunmamaktadır. Bununla birlikte davalı tarafından verilen hizmet bir e-ticaret entegrasyon hizmetidir. Bu yönüyle davalının sözleşme konusu hizmetinin teknik ve teknolojik bir hizmet olduğu gözetilerek, bu hizmetlerin sunulduğu sistemlerde işlenen kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara yetkisiz şekilde erişilmesini önlemek ve güvenli bir şekilde muhafaza edilmesinin temini için veri sorumlusu ile birlikte veri işleyen sıfatıyla davalının da sorumlu olduğu açıktır. Kişisel verilere yetkisiz bir biçimde erişilmesini önleme ve güvenli bir biçimde muhafaza edilmesini sağlama noktasında sızma testlerinin belirli aralıklarla gerçekleştirilmesi idari ve teknik anlamda alınması gereken tedbirlerdendir. Bu tedbirin alınmasını sağlama yükümlülüğü hem veri sorumlusuna hem de veri işleyene aittir; zira, Kişisel Verilerin Koruması Kanunu madde 12/2 hükmü uyarınca “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” Davacı, sistemleri üzerinde sızma testleri ancak veri ihlaline ilişkin BTK bildiriminden sonra gerçekleştirilmiştir. Her ne kadar davalı vekili tarafından verilen delil listesinde 2018, 2019, 2020 ve 2021 yılına ait sızma testleri gösterilmişse de dosya eklerinde bu sızma testleri bulunmamakta, davalının, davacıya verdiği hizmete konu kişisel verilerin korunmasına yönelik sızma testi yaptığı ve/veya yapılan sızma testlerini davacıya raporladığı hususu tespit edilememektedir. Bu noktada davacının, sızma testi talep ve takip etmemekle, davalının ise sızma testlerini uygulayıp raporlamamakla, her iki tarafın aksine beyanlarınına mukabil beyanlarına konu hususları ispat ve tevsik etmedikleri dikkate alınarak müterafik (birlikte) kusurlu bir halde oldukları kabul edilmiştir.
Kusur oranları, davalı kusurlu ise davacının talep edebileceği tazminat miktarının tayin edilmesine ilişkin olarak; yukarıda yer bulan tespit ve değerlendirmelerin ışığında, veri sorumlusu …ile veri işleyen …’un müşterilerin kişisel verilerinin güvenliğini sağlamak bakımından ve sorumluluğun yerine getirilmemesini sonuçlarına dair müştereken sorumlu oldukları sonucuna varılmaktadır.
Sonuç olarak dosya kapsamı ve KVKK kararından hareketle kişisel verilerin güvenliğinin sağlanamaması nedeniyle yaşanan kişisel veri ihlalinin her iki tarafından da kusuru nedeniyle meydana geldiği kanaatine varılmıştır. Veri sorumlusu olduğu için gerekli idari ve teknik tedbirleri alması gereken davacının, bu tedbirleri almakta ve/veya ilgili tedbirlerin alınmasında gerekli özeni göstermediği, yükümlülüklerini ihlal ettiği anlaşılmaktadır. Buna mukabil veri işleyen davalının KVKK m. gereğince veri sorumlusu ile birlikte kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önleme ve kişisel verilerin güvenli bir şekilde muhafazası noktasında müştereken sorumlu olduğu, ancak bu yükümlülüklerini gerektiği gibi yerine getirmediği anlaşılmaktadır. Bu birlikte kusur ve sorumluluk haline dair, tarafların ihmaline konu iş ve hususlar bir bütün olarak değerlendirildiğinde, yaşanan ihlalden ötürü davacının ve davalının eşit oranda, yani %50 – %50 oranında kusuru ve sorumlu oldukları ve davacının talep edebileceği rücuen tazminat miktarının da bu minvalde tayin edilmesinin uygun olduğu kabul edilerek davacı tarafa tahakkuk ettirilen 450.000,00-TL idari para cezasının yarısı 167.750,00 TL’nin dava tarihinden itibaren işleyen avans faizi ile birlikte davalıdan alınarak davacıya verilmesine karar vermek gerekmiştir.
HÜKÜM: Açıklanan yasal, gerektirici nedenlere göre;
1-Dava ve talep artırım dilekçelerine göre davanın kabulü ile 167.750,00 TL’nin dava tarihinden itibaren işleyen avans faizi ile birlikte davalıdan alınarak davacıya verilmesine,
2-Harçlar Kanununca alınması gerekli 11.459,00 TL ilam harcından peşin ve ıslah olarak yatırılan toplam 2.962,70 TL harcın mahsubu ile bakiye 8.496,30 TL harcın davalıdan alınarak hazineye gelir kaydedilmesine,
3-6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu 18/A-13,14.maddeleri ve Arabuluculuk Kanunu Yönetmeliği 26.maddesi gereğince Adalet Bakanlığı bütçesinden karşılanan 1.560,00 TL arabuluculuk ücretinin davalıdan alınarak hazineye gelir kaydedilmesine,
4-Karar tarihinde yürürlükte bulunan A.A.Ü.T gereğince hesaplanan 26.162,50 TL avukatlık ücretinin davalıdan alınarak davacıya verilmesine,
5-Davacı tarafından yapılan 80,70 başvuru harcı, 11,50-TL vekalet harcı, 1.250,00-TL bilirkişi ücreti, peşin ve ıslah olarak yatırılan toplam 2.962,70 TL harç, 154,50 TL tebligat ve müzekkere giderlerinden oluşan toplam 4.459,40 TL yargılama giderlerinin davalıdan alınarak davacıya verilmesine, kullanılmayan bakiye gider avansının karar kesinleştiğinde talep halinde yatıran taraflara iadesine,
Dair tebliğ tarihinden itibaren iki haftalık yasal süresi içerisinde İstanbul Bölge Adliye Mahkemesi nezdinde İstinaf yolu açık olmak üzere verilen karar taraf vekillerinin yüzüne karşı açıkça okunup, usulen anlatıldı. 14/06/2023
Katip
¸e-imzalıdır
Hakim
¸e-imzalıdır