Güney Kore, ülkenin en büyük e-ticaret platformu Coupang'a, 30 milyondan fazla müşterinin kişisel verilerinin sızdırılması nedeniyle 409 milyon dolar (yaklaşık 12,5 milyar Kore wonu) tarihi bir para cezası verdi. Perşembe günü açıklanan karar, Coupang'ın veri güvenliği ihlallerine karşı en ağır yaptırım olarak kayıtlara geçti. Cezanın büyüklüğü, ABD'li yasa koyucuların da tepkisini çekerken, Kore Kişisel Bilgi Koruma Komisyonu (PIPC) tarafından yürütülen aylar süren soruşturmanın sonunda alındı. Coupang, Delaware'de kayıtlı bir firma olarak faaliyet gösteriyor ve ABD borsasında işlem görüyor.
Coupang veri sızıntısı: İhlalin boyutları ve soruşturma süreci
PIPC, Coupang'ın 2021'de yaşanan veri sızıntısında 30 milyondan fazla kullanıcının ad, adres, telefon numarası ve e-posta gibi hassas bilgilerinin üçüncü taraflara sızdırıldığını tespit etti. Soruşturma, şirketin veri koruma yükümlülüklerini ihlal ettiğini ve ihlalin ardından gerekli önlemleri almadığını ortaya koydu. Komisyon, Coupang'ın eksikliklerini gidermesi için 90 gün süre tanıdı ve ayrıca şirkete yönelik ek denetimler başlatılacağını duyurdu. Coupang, cezayı ağır bulduklarını ve hukuki yollara başvuracaklarını açıkladı.
Bu ceza, Güney Kore'nin veri koruma yasaları kapsamında verilen en büyük ceza olma özelliğini taşıyor. Daha önce de Google ve Meta gibi dev şirketlere veri ihlalleri nedeniyle cezalar kesilmişti, ancak Coupang cezası bunların hepsini geride bıraktı. PIPC Başkanı Ko Hak-soo, "Veri koruma, dijital ekonominin temelidir. Bu ceza, şirketlerin kullanıcı verilerini koruma sorumluluğunu hatırlatmayı amaçlıyor" dedi.
Küresel yankılar ve ABD'li yasa koyucuların tepkisi
Cezaya en sert tepki ABD'den geldi. Amerikalı yasa koyucular, Coupang'ın ABD'de kayıtlı bir şirket olmasına rağmen cezanın ABD yasalarını ihlal edip etmediğini sorguluyor. Temsilciler Meclisi üyeleri, konuyu Ticaret Bakanlığı'na taşıyarak soruşturma başlatılmasını talep etti. Coupang hisseleri, cezanın ardından New York Borsası'nda %5 değer kaybetti. Uzmanlar, bu kararın diğer ülkelerdeki veri koruma düzenlemelerine de örnek teşkil edebileceğini belirtiyor. Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) benzeri sert yaptırımlar, Asya'da da yaygınlaşma eğiliminde. Güney Kore, 2020'de Kişisel Bilgi Koruma Yasası'nı GDPR benzeri bir şekilde güncellemişti.
Coupang, Güney Kore'de 30 milyonu aşkın aktif kullanıcıya sahip ve ülkenin e-ticaret pazarında %60 paya sahip. Şirket, ihlalin ardından güvenlik önlemlerini artırdığını ancak cezanın orantısız olduğunu savunuyor. Analistler, bu cezanın Coupang'ın mali durumunu etkileyebileceğini, ancak şirketin pazar liderliğini sürdüreceğini öngörüyor.
Türkiye Açısından Değerlendirme
Bu olay, Türkiye'deki e-ticaret şirketleri ve veri koruma düzenlemeleri açısından önemli bir uyarı niteliğinde. Türkiye, Kişisel Verilerin Korunması Kanunu (KVKK) ile benzer bir düzenlemeye sahip olsa da, cezaların caydırıcılığı tartışmalı. Coupang'a kesilen rekor ceza, uluslararası şirketlerin veri güvenliği konusunda daha sıkı denetleneceğini gösteriyor. Türkiye'nin ihracat pazarları için kritik öneme sahip e-ticaret sektörü, bu tür cezalarla karşılaşmamak için veri koruma standartlarını yükseltmeli. Ayrıca, ABD ve AB arasındaki veri akışı anlaşmazlıkları Türkiye'yi de etkileyebilir; bu nedenle KVKK'nın uluslararası normlarla uyumlu hale getirilmesi önem taşıyor.
