KVKK 2.3M TL para cezası 700K TL'ye indirildi

Müvekkil e-ticaret şirketi 70K kullanıcı verisi ihlalinde 2.3M TL ceza aldı; KVKK savunması + idari mahkeme süreciyle 700K TL'ye indirildi.

Müvekkil orta ölçekli bir e-ticaret şirketi; SQL injection ile yaklaşık 70.000 müşteri (ad, soyad, e-posta, şifrelenmiş şifre, sipariş geçmişi) verisi çalındı. Saldırgan dark web'te yayınladı.

İlk 24 saat: BTK + savcılık şikâyeti + KVKK 72 saat bildirim. Müşterilere bildirim + iletişim hattı. Pen-test ve ISO 27001 sertifika belgeleri toplandı. Adli bilişim raporu (saldırı vektörü dış kaynak) ile "ihmal yok" savunması. KVKK 2.3M TL ceza verdi (5K TL × etkilenen kişi katmanı). İdare mahkemesinde: (a) ihlal dış kaynak, (b) önceden yatırım yapılmıştı, (c) 72 saat bildirim doğru, (d) müşterilere şeffaf iletişim. Mahkeme cezayı 700K TL'ye indirdi.

2.3M TL → 700K TL (%70 indirim). Ek olarak: KVKK denetim sonucu 12 aylık aksiyon planı; ISO 27001 sertifikası kazanıldı; yıllık pen-test zorunluluğu; DPO atandı. Müvekkil 18 ay içinde tüm önlemleri tamamladı.