Özet
Dijital çağda kişisel verilerin korunması, bireyin temel hak ve özgürlükleri arasında en kritik konulardan biri haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde Türkiye’de veri güvenliğine ilişkin farkındalık artmış olmakla birlikte, küresel markaların yaşadığı veri ihlalleri konunun önemini sürekli gündemde tutmaktadır. Bu çalışma, 16 Ekim 2025 tarihinde Mango tarafından kamuoyuna duyurulan veri ihlali olayı üzerinden, kişisel verilerin korunması ilkelerini ve veri sorumlularının yükümlülüklerini incelemektedir. İnceleme kapsamında, KVKK’da yer alan genel ilkeler ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) hükümleri karşılaştırmalı olarak ele alınmış, olayın hukuki sonuçları değerlendirilmiştir.
1. Giriş
Teknolojik gelişmelerin hızla ilerlediği günümüzde, bilgi toplumunun temel değeri haline gelen “veri”, ekonomik ve sosyal faaliyetlerin merkezinde yer almaktadır. Bu durum, bireylere ait kişisel verilerin korunmasını yalnızca etik değil, aynı zamanda hukuki bir zorunluluk haline getirmiştir. Kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası’nın 20. maddesi ile güvence altına alınmış, bu hakkın usul ve esasları ise 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlenmiştir.
Kişisel verilerin korunması hakkının amacı, bireylerin özel hayatlarının gizliliğini korumak, veri işleme süreçlerinde şeffaflık ve güveni sağlamaktır (Bilir, 2023: 634). Bu çerçevede veri sorumluları, verilerin hukuka uygun şekilde işlenmesi, saklanması ve olası ihlallerde gerekli bildirimlerin yapılması yükümlülüğü altındadır.
Bu çalışma, Mango markasının 16 Ekim 2025 tarihinde kamuoyuna yaptığı açıklamadan hareketle, kişisel verilerin korunmasına ilişkin ilkeleri somut bir örnek üzerinden değerlendirmekte; veri ihlali durumunda veri sorumlularının hukuki sorumluluğunu analiz etmektedir.
2. Kişisel Verilerin Korunması Kavramı ve Hukuki Dayanaklar
2.1. Kişisel Verinin Tanımı ve Temel Hak Boyutu
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (KVKK m.3). Bu tanım, yalnızca kimlik numarası veya ad-soyadı gibi doğrudan tanımlayıcı bilgileri değil, kişinin e-posta adresi, telefon numarası, IP bilgisi veya konum verisi gibi dolaylı tanımlayıcı unsurları da kapsamaktadır.
Kişisel verilerin korunması hakkı, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen özel hayatın gizliliği hakkı ile yakından ilişkilidir. Avrupa İnsan Hakları Mahkemesi, kişisel verilerin toplanması, saklanması ve paylaşılmasını “özel hayata saygı hakkı” kapsamında değerlendirmekte; bu alanın devlet müdahalesine karşı korunması gerektiğini vurgulamaktadır (Bilir, 2023: 633).
Türkiye’de kişisel verilerin korunması hakkı, 2010 yılında yapılan Anayasa değişikliğiyle açıkça düzenlenmiş, “herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı vardır” hükmüyle anayasal güvence altına alınmıştır. Böylece kişisel verilerin korunması, sadece yasal değil, aynı zamanda temel bir insan hakkı olarak da tanımlanmıştır (Yücedağ, 2019: 48).
2.2. KVKK Kapsamında Genel İlkeler
KVKK’nın 4. maddesinde kişisel verilerin işlenmesinde uyulması gereken temel ilkeler belirtilmiştir. Buna göre veri işleme faaliyetleri;
- Hukuka ve dürüstlük kuralına uygun olmalı,
- Doğru ve gerektiğinde güncel olmalı,
- Belirli, açık ve meşru amaçlarla işlenmeli,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir (Yücedağ, 2019: 49).
Bu ilkeler, KVKK’nın bütün sistematiğinin temelini oluşturmaktadır. Özellikle “ölçülülük” ilkesi, veri sorumlusunun gereğinden fazla veri toplamamasını, verileri yalnızca işleme amacıyla sınırlı biçimde kullanmasını zorunlu kılar.
Veri sorumlusunun yükümlülükleri sadece verilerin toplanması ve saklanmasıyla sınırlı değildir. Aynı zamanda olası bir veri ihlali durumunda Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere makul süre içinde bildirim yapılması zorunludur (KVKK m.12/5).
3. Mango Veri İhlali Olayının Özeti ve Hukuki Niteliği
16 Ekim 2025 tarihinde Mango, resmi internet sitesi üzerinden yaptığı kamuoyu duyurusunda, pazarlama hizmeti sağlayan bir üçüncü taraf şirketin sistemlerine yetkisiz erişim sağlandığını açıklamıştır. Açıklamaya göre ihlalden etkilenen veriler arasında isim, ülke, posta kodu, e-posta adresi ve telefon numarası yer almakta; ancak banka bilgileri, kimlik numaraları, şifreler veya adres bilgileri gibi hassas veriler bu kapsamda değildir. Mango, olayın ardından güvenlik protokollerini güncellediğini ve gerekli bildirimleri gerçekleştirdiğini beyan etmiştir.
Bu açıklama, KVKK’nın 12. maddesinde düzenlenen veri güvenliğine ilişkin yükümlülükler kapsamında değerlendirilmelidir. Veri sorumlusu, kişisel verilerin hukuka aykırı erişilmesini önlemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri ihlali gerçekleştiğinde Kurul’a ve ilgili kişilere gecikmeksizin bildirim yapılması gerekir.
Mango’nun açıklaması, ilk bakışta şeffaflık ve kamuoyunu bilgilendirme açısından olumlu bir örnek teşkil etmektedir. Ancak olayın üçüncü taraf bir pazarlama firmasının sistemlerinde gerçekleşmiş olması, veri sorumlusunun denetim yükümlülüğü açısından tartışmalıdır. KVKK m.12 uyarınca veri sorumlusu, kişisel verileri kendi adına işleyen üçüncü tarafların da güvenlik standartlarına uymasını sağlamakla yükümlüdür (Bilir, 2023: 637).
4. Olayın KVKK İlkeleri Açısından Değerlendirilmesi
4.1. Hukuka ve Dürüstlük Kuralına Uygunluk
KVKK m.4/2(a) uyarınca, kişisel verilerin hukuka ve dürüstlük kuralına uygun işlenmesi gereklidir. Mango’nun verileri pazarlama amacıyla işlemesi meşru bir amaç teşkil etse de verilerin üçüncü taraf firmaya aktarımı sırasında gerekli güvenlik kontrollerinin yapılmamış olması bu ilkeye aykırılık teşkil edebilir.
Veri sorumlusu, sadece kendi sistemlerinde değil, veri işleyenlerin sistemlerinde de güvenliğin sağlanmasından sorumludur. Bu kapsamda Mango’nun olaydan önce düzenli denetim yapıp yapmadığı, aydınlatma metninde üçüncü taraf veri aktarımına açıkça yer verip vermediği önem arz etmektedir (Yücedağ, 2019: 49).
4.2. Ölçülülük ve Sınırlılık İlkesi
İhlalden etkilenen veriler, pazarlama faaliyetleri için kullanılan iletişim bilgileriyle sınırlıdır. Bu durum, ölçülülük ilkesi açısından olumlu değerlendirilebilir. Ancak, e-posta adresi ve telefon numarasının kötüye kullanılması, kimlik hırsızlığı veya dolandırıcılık risklerini beraberinde getirdiğinden, veri sorumlusunun bu riskleri öngörmesi ve önleyici tedbirler alması gerekirdi (Bilir, 2023: 635).
4.3. Şeffaflık ve Aydınlatma Yükümlülüğü
Mango’nun kamuoyuna hızlı bir şekilde açıklama yapması, aydınlatma yükümlülüğünün yerine getirilmesi bakımından örnek teşkil etmektedir. Ancak, KVKK m.10 gereği veri işleme süreçlerinde ilgili kişilerin kimlik, işleme amacı, aktarım bilgileri ve hakları hakkında önceden bilgilendirilmesi gerekir.
Mango’nun Türkiye’deki kullanıcılarına yönelik aydınlatma metninde bu detaylara ne ölçüde yer verdiği, olayın hukuka uygunluğunu belirleyecektir.
4.4. Veri Sorumlusunun Yükümlülüklerini Yerine Getirmemesi
Veri ihlali olayında Mango’nun temel sorumluluğu, yalnızca ihlali bildirmek değil, ihlalin hiç meydana gelmemesi için gerekli teknik ve idari tedbirleri önceden almış olmaktır. KVKK m.12’ye göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemekle yükümlüdür.
Her ne kadar Mango olayı hızlıca duyurmuş olsa da üçüncü taraf pazarlama firmasının sistemlerinde gerçekleşen sızıntı, denetim eksikliğini göstermektedir. KVKK’nın öngördüğü “veri işleyeni denetleme” yükümlülüğü, sadece teorik değil, fiilen ve düzenli aralıklarla yapılan teknik kontrolleri kapsar. Bu anlamda Mango’nun olay öncesinde yeterli denetim mekanizmasını kurmadığı söylenebilir.
Veri sorumlusu, KVKK m.12/2 uyarınca kişisel verilere yetkisiz erişim riskine karşı önleyici güvenlik protokolleri, şifreleme sistemleri, erişim loglaması ve veri aktarım güvenliği gibi tedbirleri uygulamakla yükümlüdür. Mango’nun açıklamasında bu tedbirlerin olay öncesinde hangi düzeyde uygulandığına dair bilgi verilmemiştir. Bu da hukuki anlamda “özen borcunun ihlali” olarak nitelendirilebilir (Yücedağ, 2019: 49).
5. Sonuç
Mango olayı, veri sorumlularının yalnızca şeffaf olmalarının yeterli olmadığını; asıl önemli olanın önleyici koruma tedbirlerinin eksiksiz biçimde uygulanması olduğunu göstermektedir.
Her ne kadar şirket, kamuoyunu bilgilendirme yükümlülüğünü yerine getirmiş olsa da veri ihlalinin üçüncü taraf bir firmada meydana gelmesi, veri sorumlusunun gözetim yükümlülüğünü ihmal ettiğine işaret etmektedir.
Bu bağlamda Mango’nun, KVKK’nın 12. maddesinde düzenlenen teknik ve idari tedbirleri alma yükümlülüğünü tam anlamıyla yerine getirmediği değerlendirilmektedir. Veri sorumlusu, verilerin korunmasında yalnızca kendi sistemlerini değil, verilerin işlendiği tüm dış hizmet sağlayıcıların sistemlerini de koruma yükümlülüğü altındadır.
Dolayısıyla bu olay, Türkiye’de faaliyet gösteren yabancı markalar açısından, “veri güvenliği kültürünün yalnızca hukuki değil, kurumsal bir sorumluluk alanı” olduğunu bir kez daha göstermektedir.
Av. Selenay Feyza BIKMAZ TÜREN
Kaynakça
Bilir, F. (2023). Kişisel Verilerin Korunması Yönündeki Uygulama ve Hukuki Düzenlemelerin Ortaya Çıkışı. Adalet Dergisi, 71(2), 631–651.
Yücedağ, N. (2019). Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler. Kişisel Verileri Koruma Dergisi, 1(1), 47–63.
6698 Sayılı Kişisel Verilerin Korunması Kanunu, RG: 07.04.2016 / 29677.
Avrupa İnsan Hakları Sözleşmesi
Kişisel Verileri Koruma Kurulu Kararı (2020/173). Açık Rızanın Hizmet Şartına Bağlanması, www.kvkk.gov.tr.
Mango Basın Açıklaması, “Kişisel Verilerle İlgili Önemli Duyuru”, 16 Ekim 2025.