Güney Kore Kişisel Bilgi Koruma Komisyonu (PIPC), ülkenin en büyük e-ticaret platformu Coupang'a, yaklaşık 30 milyon kullanıcının kişisel verilerinin sızmasına neden olduğu gerekçesiyle 400 milyon dolar (yaklaşık 530 milyar won) para cezası kesti. Bu ceza, Güney Kore tarihinde bir şirkete verilen en yüksek veri koruma cezası olarak kayıtlara geçti. Coupang'ın, kullanıcıların kimlik bilgileri, adresleri ve ödeme bilgileri gibi hassas verileri yeterince koruyamadığı ve sızıntıyı zamanında bildirmediği belirtildi.
Gelişmenin arka planı: Veri sızıntısı nasıl gerçekleşti?
PIPC'nin yaptığı incelemeye göre, Coupang'ın veri tabanına sızan hackerlar, yaklaşık 30 milyon kullanıcının adı, e-posta adresi, telefon numarası, ev adresi ve kısmi kredi kartı bilgilerini ele geçirdi. Sızıntı, 2023 yılının sonlarında tespit edilmiş, ancak şirket yetkililerinin bu durumu hemen bildirmemesi üzerine cezanın miktarı artırıldı. Coupang, sızıntının ardından güvenlik önlemlerini güçlendirdiğini ve etkilenen kullanıcılara bildirim yaptığını açıkladı. Ancak PIPC, şirketin veri koruma yükümlülüklerini ihlal ettiğine ve kullanıcıları yeterince bilgilendirmediğine hükmetti.
PIPC Başkanı Kim Tae-kyun, kararla ilgili yaptığı açıklamada, "Kişisel verilerin korunması dijital çağın en önemli meselelerinden biri haline geldi. Bu ceza, büyük teknoloji şirketlerine veri güvenliği konusunda daha sorumlu davranmaları gerektiği yönünde güçlü bir mesajdır" ifadelerini kullandı. Cezanın, veri sızıntısının büyüklüğü, süresi ve şirketin ihmali göz önüne alınarak belirlendiği bildirildi.
Bölgesel ve küresel boyut: Asya'da veri koruma düzenlemeleri sertleşiyor
Coupang'a kesilen bu rekor ceza, Asya-Pasifik bölgesinde veri koruma düzenlemelerinin giderek sıkılaştığını gösteriyor. Güney Kore, 2020 yılında yürürlüğe giren Veri Koruma Yasası ile kişisel verilerin işlenmesinde katı kurallar getirmiş ve ihlallere ağır yaptırımlar öngörmüştü. Japonya, Çin ve Hindistan gibi ülkeler de benzer düzenlemeleri hayata geçiriyor veya mevcut yasalarını güçlendiriyor. Bu eğilim, küresel teknoloji şirketlerinin Asya'da faaliyet gösterirken veri güvenliğine daha fazla yatırım yapmasını zorunlu kılıyor.
Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) model alınarak hazırlanan bu düzenlemeler, şirketlerin veri ihlali durumunda ciddi mali ve itibari zararlara uğramasına neden olabiliyor. Coupang davası, bölgedeki diğer e-ticaret devleri için de bir uyarı niteliği taşıyor. Uzmanlar, veri koruma cezalarının önümüzdeki yıllarda daha da artacağını ve şirketlerin bu alanda proaktif önlemler alması gerektiğini vurguluyor.
Türkiye Açısından Değerlendirme
Türkiye'de de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde benzer düzenlemeler bulunmakta olup, Türk şirketleri de veri ihlali durumunda idari para cezalarıyla karşılaşabilmektedir. Coupang'a kesilen rekor ceza, Türk e-ticaret ve teknoloji şirketlerine veri güvenliği yatırımlarının önemini hatırlatıyor. Ayrıca, Türkiye'de faaliyet gösteren uluslararası şirketlerin de veri koruma standartlarını yükseltmesi, hem kullanıcı güveni hem de olası cezaların önlenmesi açısından kritik. Bu gelişme, küresel veri koruma trendlerinin Türkiye'yi de etkilediğini ve yerel düzenlemelerin uluslararası normlarla uyumlu hale getirilmesi gerektiğini gösteriyor.
