Güney Kore'nin veri koruma düzenleyicisi, e-ticaret devi Coupang'a ülke tarihinin en büyük kişisel veri sızıntısı nedeniyle 408 milyon dolar (yaklaşık 14.6 milyar won) para cezası kesti. Kişisel Bilgi Koruma Komisyonu (PIPC), Coupang'ın yaklaşık 30 milyon kullanıcının kişisel verilerini korumak için yeterli güvenlik önlemleri almadığını ve ihlali yetkililere bildirmeyi geciktirdiğini açıkladı. Şirketin veri sızıntısını fark etmesine rağmen iki hafta boyunca kamuoyuna duyurmadığı belirtildi. Komisyon, Coupang'ın bu ihmali nedeniyle 20 milyar won (yaklaşık 555 milyon dolar) idari para cezası ve 2,7 milyar won (yaklaşık 75 milyon dolar) ek ceza ödemesine hükmetti.
Gelişmenin arka planı
Veri sızıntısı, 2022 yılının Mayıs ayında meydana geldi. Coupang'ın sistemlerine sızan siber saldırganlar, kullanıcı adları, şifreler, adresler ve telefon numaraları gibi hassas bilgileri ele geçirdi. PIPC soruşturması, Coupang'ın veri koruma yasalarının gerektirdiği güvenlik önlemlerini almadığını ortaya koydu. Örneğin, şirket veri şifreleme protokollerini güncellememiş ve çalışanların yetkisiz erişimini engelleyecek sistemleri kuramamıştı. Ayrıca, ihlalin fark edilmesinden sonra Coupang yetkilileri, etkilenen kullanıcıları derhal bilgilendirmekle yükümlü olmalarına rağmen, bu bildirimi 14 gün geciktirdi.
Bu olay, Güney Kore'nin en büyük veri ihlali olarak kayıtlara geçti. Önceki rekor, 2021'de 22 milyon kullanıcının verilerinin sızdırıldığı başka bir vaka idi. Coupang cezası, ülkenin veri koruma yasalarının en yüksek para cezası olarak tarihe geçti. PIPC başkanı, bu cezanın diğer şirketlere caydırıcı bir mesaj niteliği taşıdığını vurguladı.
Bölgesel veya küresel boyut
Coupang, sadece Güney Kore'de değil, aynı zamanda ABD ve diğer Asya pazarlarında da faaliyet gösteriyor. Bu ceza, küresel e-ticaret şirketlerinin veri güvenliği konusundaki sorumluluklarını hatırlatıyor. Güney Kore, 2020'de yürürlüğe giren katı veri koruma yasasıyla Avrupa Birliği'nin Genel Veri Koruma Tüzüğü'ne (GDPR) benzer bir çerçeve benimsemişti. Bu yasa kapsamında şirketler, kullanıcı verilerini korumakla yükümlü ve ihlal durumunda ağır para cezalarıyla karşı karşıya kalabiliyor. Uzmanlar, bu cezanın, Asya'daki diğer ülkelerin de benzer düzenlemeleri sıkılaştırmasına örnek teşkil edebileceğini belirtiyor. Ayrıca, Coupang gibi hızlı büyüyen e-ticaret platformlarının güvenlik altyapılarına yatırım yapması gerektiğinin altı çiziliyor.
Türkiye Açısından Değerlendirme
Bu gelişme, Türkiye'deki e-ticaret şirketleri ve veri koruma düzenlemeleri açısından önemli bir uyarı niteliği taşıyor. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketlerin veri ihlallerinde benzer yükümlülükleri bulunuyor. Ancak, Güney Kore'deki gibi yüksek meblağlı cezalar henüz uygulanmış değil. Bu vaka, KVKK'nın daha etkin uygulanması ve caydırıcı cezaların artırılması yönünde bir tartışma başlatabilir. Ayrıca, Türkiye'de faaliyet gösteren uluslararası e-ticaret platformlarının, veri güvenliği standartlarını yükseltmesi beklenebilir. Türk kullanıcılar da kişisel verilerinin korunması konusunda daha bilinçli hale gelebilir.
