Vaka Çalışması: 4.5 Milyon TL KVKK İdari Para Cezasının İdare Mahkemesinde İptali — Av. Bilal Alyar
E-ticaret şirketi müvekkilin sistem ihlalinde sızdırılan müşteri verileri nedeniyle KVKK Kurulu 4.5 milyon TL idari para cezası uyguladı. İdare mahkemesinde açılan iptal davasında; 72 saat bildiriminin yapıldığı, makul güvenlik tedbirlerinin alındığı ve ihlalin üçüncü taraf saldırısından kaynaklandığı ispatlanarak ceza %75 oranında indirildi.
Olayın Özeti
Müvekkil — orta ölçekli e-ticaret platformu. 2024 yılında SQL injection saldırısı sonucu 280.000 kullanıcının kimlik, iletişim ve adres verileri sızdırıldı. KVKK Kurulu 4.500.000 TL idari para cezası uyguladı.
Hukuki Strateji
- İhlalin tespitinden 28 saat sonra Kurul’a bildirim yapıldığı, bildirim belgeleri sunuldu (72 saat şartı yerine getirilmiş).
- Saldırı öncesi alınan güvenlik tedbirleri: WAF, SQL prepared statements, log izleme, periyodik penetrasyon testi — belgelendi.
- Bağımsız adli bilişim raporu: ihlal “zero-day exploit” niteliğinde, makul tedbirler ile önlenemeyecek nitelikte.
- Müvekkilin ihlal sonrası aldığı düzeltici tedbirler: tüm şifrelerin sıfırlanması, etkilenen kullanıcılara bireysel bildirim, ücretsiz kimlik koruma hizmeti — belgelendi.
- Kurul’un emsal kararlarına göre ceza miktarının üst sınıra yakın olduğu, oransızlık argümanı sunuldu.
Sonuç
İdare mahkemesi 14 ay süren yargılama sonunda cezayı 4.500.000 TL’den 1.125.000 TL’ye indirdi (%75 indirim). Karar BİM’de onandı; Kurul’un temyiz başvurusu Danıştay tarafından reddedildi.
Çıkarılan Dersler
- 72 saat bildirimi: Yerine getirilmiş olması cezada hafifletici en güçlü unsurdur.
- Önceden tedbir alma: Saldırı öncesi alınan güvenlik tedbirleri ispatlanırsa cezanın indirilmesi olasıdır.
- Düzeltici tedbirler: İhlal sonrası alınan hızlı tedbirler de hafifletici unsur sayılır.
- Oransızlık argümanı: Emsal Kurul kararları ile karşılaştırma cezanın indirilmesinde belirleyici olabilir.
Not: Bu vaka müvekkil sırrı korunmak suretiyle anonimleştirilmiştir; sayısal değerler, tarih ve isimler değiştirilmiştir.