Elektronik ticaret sitelerinde, tüketicilerin kişisel verilerinin korunması amacıyla kullanılan SSL sertifikası gibi teknik güvenlik önlemlerinin, aynı zamanda 6698 sayılı KVKK'nın 12. maddesinde veri sorumlusuna yüklenen 'teknik ve idari tedbirleri alma' yükümlülüğü açısından ne anlama geldiğini tartışınız. Bir veri sızıntısı durumunda, sitenin SSL sertifikasına sahip olmasının, veri sorumlusunun hukuki sorumluluğunu tamamen ortadan kaldırıp kaldırmayacağını, 'gerekli özeni gösterme' kriteri açısından analiz ediniz.

KVKK'nın 12. maddesi, veri sorumlularına, işledikleri kişisel verilerin güvenliğini sağlamak için 'gerekli her türlü teknik ve idari tedbiri almakla' yükümlü kılar. SSL sertifikası kullanımı, bu 'teknik tedbirler'den biridir ve veri iletişiminin güvenliğini sağlamaya yöneliktir. Bir e-ticaret sitesinin SSL sertifikası kullanması, veri sorumlusunun KVKK'dan doğan özen yükümlülüğünü yerine getirme yolunda attığı önemli ve zorunlu bir adımdır. Ancak, bu tek başına yeterli değildir ve veri sorumlusunun hukuki sorumluluğunu tamamen ortadan kaldırmaz. Bir veri sızıntısı durumunda, veri sorumlusunun sorumluluğu değerlendirilirken, sadece SSL sertifikasının olup olmadığına değil, 'gerekli özeni gösterip göstermediğine' bir bütün olarak bakılır. Bu kapsamda; güçlü şifreleme politikaları, düzenli güvenlik denetimleri, sızma testleri, personel eğitimleri, erişim yetki matrisleri gibi diğer teknik ve idari tedbirleri alıp almadığı da incelenir. SSL sertifikasına sahip olmasına rağmen, diğer alanlarda ciddi güvenlik zafiyetleri bulunan bir veri sorumlusu, yine de 'gerekli özeni göstermediği' gerekçesiyle sorumlu tutulacaktır. SSL, gerekli ama tek başına yeterli olmayan bir tedbirdir (kadimhukuk.com.tr/makale/elektronik-ticaret-tuketici-haklari/).