Bir kişinin, erişimi engellenmiş bir siteye girmek için kullandığı ücretsiz bir VPN uygulamasının, kullanıcının internet trafiğini izleyip kişisel verilerini üçüncü kişilere sattığı ortaya çıkmıştır. Bu durumda VPN hizmeti sağlayan şirketin hukuki ve cezai sorumluluğu ne olur? Kullanıcının bu şirkete karşı açabileceği davaları ve talep edebileceği hakları (tazminat vb.) analiz ediniz.

Bu durumda VPN hizmeti sağlayan şirketin hem hukuki hem de cezai sorumluluğu doğar. 1) Cezai Sorumluluk: Şirketin eylemleri, birden fazla suçu oluşturur: a) TCK m. 136 (Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme): Kullanıcının kişisel verilerini (gezinme geçmişi, IP adresi, kimlik bilgileri vb.) rızası dışında toplayıp satmak, doğrudan bu suçu oluşturur. b) TCK m. 244 (Bilişim Sistemine Girme ve Orada Kalma): Eğer uygulama, kullanıcının cihazına gizlice sızarak verilere erişiyorsa bu suç da oluşabilir. c) TCK m. 135 (Kişisel Verilerin Kaydedilmesi): Verilerin toplanıp bir veri tabanında saklanması bu suçu oluşturur. 2) Hukuki Sorumluluk: Kullanıcı, VPN şirketine karşı hukuki yollara başvurabilir: a) Maddi ve Manevi Tazminat Davası: Kişilik haklarının (özel hayatın gizliliği, kişisel verilerin korunması hakkı) ihlali nedeniyle manevi tazminat talep edebilir. Eğer bu veri sızıntısı nedeniyle somut bir maddi zarara uğramışsa (örn: banka bilgilerinin çalınması), bu zararın tazminini de isteyebilir. Bu dava, haksız fiil hükümlerine (TBK m. 49 vd.) dayandırılabilir. b) Kişisel Verilerin Korunması Kurumu'na (KVKK) Şikayet: Kullanıcı, 6698 sayılı KVKK kapsamında şirketi Kurum'a şikayet edebilir. Kurum, şirkete yüksek miktarlarda idari para cezası kesme ve veri işleme faaliyetini durdurma gibi yaptırımlar uygulayabilir.