Posted on by tarlanbaksi

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 09.08.2021 tarihinde 9 adet yeni kurul karar özeti yayınlanmıştır. Bu kararların özetini aşağıda bilgilerinize sunarız.

1)“Bir perakende giyim firmasının veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun(“Kurul”) 20/01/2020 tarih ve 2020/50 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
  • Konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine yönlendirildiğinin öğrenildiği,
  • Şirketin Kurum’a muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği ve ilgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından belirtilen nedenlerden ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,

  • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

2) “Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Yapılan rutin güvenlik denetimi sırasında eski bir veri sorumlusu çalışanı tarafından içerisinde kaynak kod ile veri dosyaları içeren bir klasörün yetkisiz olarak github.com internet sitesine yüklendiğinin tespit edildiği ve konu hakkında inceleme başlatıldığı, 
  • Yapılan incelemede klasör içerisinde yer alan birçok dosyada veri sorumlusu kullanıcılarının bir alt kümesinin kimliğini belirli kılabilecek bilgilerin bulunabileceği tespit edilmiş olsa da,  verilerin büyük bir kısmının veri sorumlusu hizmetlerinden men edilmiş sahte hesaplara ait olduğunun görüldüğü,
  • İncelemenin detaylandırılmasından sonra verilerin hem sahte hesaplara hem de Türkiye’de yerleşik kullanıcılara ait gerçek hesapların birleşiminden oluştuğunun kesinleştiği, 
  • İhlalden kullanıcılar, müşteriler ve potansiyel müşteriler ile çocukların etkilendiği, ihlalden etkilenenlerin tamamına yakınının yetişkin olmakla birlikte az sayıda çocuğun da içlerinde yer aldığı,ihlalden etkilenen kişisel verilerin kimlik(doğum tarihi), iletişim(e-posta adresi), lokasyon(internet hizmet sağlayıcı ve kullanıcı kayıt tarihi ve saati) gibi bilgilerin olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Söz konusu ihlalin bir güvenlik açığı olduğu, bu kaynak kodların yetkisiz üçüncü kişiler tarafından analiz edilerek başka güvenlik açıklıklarına sebebiyet verebileceği dikkate alındığında veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin yeterince alınmamış olduğunun ve Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberinin(“Rehber”) 2.2. numaralı “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında açıklanan hususlara uygun davranmadığının göstergesi olduğu,  
  • İhlalin gerçekleşme tarihinden 2 yıla yakın süre geçtikten sonra 09.01.2019 tarihinde ihlalin tespit edilmesinin güvenlik kontrollerinin düzenli olarak yapılmadığının, dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu,
  • Söz konusu çalışanın kişisel verileri de içeren dosyaları kendi taşınabilir depolama aygıtına kopyalamasının veri sorumlusunun politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu

hususları dikkate alındığında, Kanun’un 12/1 maddesi kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 100.000 TL,

  • Veri sorumlusunun Kanunun 12/5 maddesinde yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18/1/(b) maddesi uyarınca veri sorumlusu hakkında 30.000 TL olmak üzere toplam 130.000 TL idari para cezası uygulanmasına karar verilmiştir.

3) “Bir bankanın veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/359 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin; KKB ekranında, Veri Sorumlusu Banka’nın eski çalışanının işin gereğinden fazla adette sorgulama yapılması ile gerçekleştiği, çalışanın ifadesine göre; T.C. kimlik numaraları Banka dışından 3. şahıs tarafından iletilip kişilerin kredi skorlarının öğrenilmek istenildiği,
  • İhlalin yıllık periyotlarla hazırlanan kontroller neticesinde veri ihlalini gerçekleştiren çalışanın işin gereğinden fazla adette sorgulama yaptığının fark edilmesi üzerine hazırlanan Teftiş Raporu ile; çalışanın KKB sorgulamalarını ilgili kişilerin gıyabında gerçekleştirdiği, KKB sorgulamalarını gerçekleştirdiği esnada cep telefonu ile ilgilendiği ve KKB sorgulamalarını yaptıktan hemen sonra bir kağıda not aldığı, bazı tarihlerde bu kağıdın fotoğrafını çektiği ve/veya cep telefonu ile yazıştığının tespit edilmesiyle anlaşıldığı,
  • İhlalden veri sorumlusunun müşterisi olan ve müşterisi olmayan toplam 5695 kişinin etkilendiği, ihlalden etkilenen kişisel verilerin, şahısların bankalardan kullanmış oldukları tüm kredili ürünlere ilişkin geçmişleri, ödeme performansları ve borç rakamları, adres, telefon vb. olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri ihlalinin Temmuz 2018 ile Mayıs 2019 arasında gerçekleştiği, ihlalin anlaşılmasını sağlayan KKB sorgulama sayısının tespit edilmesine yönelik kontrolün yıllık periyotlarla yapılıyor olması nedeniyle ihlalin 1 yıla yakın süre boyunca devam ettiği ve ancak 18 Temmuz 2019 tarihinde tespit edilebildiği hususlarının,      Rehber’in “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan ifadelerine aykırı olarak veri sorumlusu tarafından kişisel verilerin korunmasına ilişkin kişisel veri güvenliği takibinin uygun zaman aralıklarıyla yapılmadığının göstergesi olduğu, 
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken; kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi gibi kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının Rehber’in “Kişisel Veri İçeren Ortamların Güvenliğinin sağlanması” başlığı altındaki ifadelerine aykırı olarak ilgili teknik ve idari tedbirlerin ihlalin öncesinde yeterince alınmadığının göstergesi olduğu, 
  • Veri ihlalinden önce sorgulanabilecek kişi sayısının sınırlandırılmamış olduğu ve ancak ihlalin gerçekleşmesinden sonra 250 üzerinde sorgulama yapan kullanıcıların kamera kayıtları incelenerek veri ihlali oluşturacak bir durum olup olmadığının kontrol edildiği hususunun,  Rehber’in “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan  ifadelerine aykırı sorgulamada sınırlama (kota) bulunmamasından kaynaklandığı, 
  • Veri sorumlusuna ait çalışanlar için veri güvenliği ve Kanun konusunda belli aralıklarla eğitim ve farkındalık çalışmalarının yapıldığı, çalışanların %86’sının konuyla ilgili bilgilendirme eğitimini tamamladığı, kalan kişilere ise eğitimin tekrar iletildiği ifade edildiği ancak bu hususta tevsik edici belge gönderilmediği hususlarının, Kanun’un 2016 yılında kabul edildiği, Rehber’in 2018 yılının ocak ayında yayımlanmış olduğu ve “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altındaki ifadelerine aykırı olarak gerçekleşen çalışanlara eğitim verilmesinin halen sağlanmadığı

hususları dikkate alındığında, Kanun’un 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 400.000 TL,

  • İhlalin geç bildirim sebebi olarak belirtilen Teftiş Raporunda yer alan bilgilerin hangilerinin paylaşıldığının net olmadığının ifade edilmesi, eldeki delillerin yetersizliği, olayın mahiyetinden emin olunmaması, müşteri şikayeti olmaması, dışarıdan gelen T.C. Kimlik numaralarına istinaden bu durumun ortaya çıkması gibi sebeplerle, bildirim gerekip gerekmediğinin kurum içinde değerlendirilmesi ve tüm ilgili ünitelerden görüş alınmasından kaynaklandığı sebebinin, 24.01.2019 Tarih ve 2019/10 sayılı Kurul Kararı’nda yer alan “…Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına…” ifadeleri göz önünde bulundurulduğunda ilgili sebeplerin Kurula geç bildirimde bulunulması için geçerli bir mazeret niteliği taşımadığı,
  • Veri ihlalinden etkilenen kişilerin tamamına veri ihlal bildiriminde bulunulmadığı, bildirimde bulunmak adına makul çaba sarf edilmediği ve Kurum tarafından talep edilmesine rağmen ihlalin bildirildiği kişi sayısının ve bu kişilerin Banka müşterisi olup olmadığına hususlarına dair Kurumumuza bilgi verilmediği

hususları dikkate alındığında; Kanunun 12/5 maddesinde yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18/1(b) bendi uyarınca 50.000 TL olmak üzere toplam 450.000 TL idari para cezası uygulanmasına karar verilmiştir.

4) “Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/421 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • 06.03.2020 tarihinde veri sorumlusu e-posta adresine kimliği belirsiz bir şahıstan veri sorumlusu web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiğine dair bir mesaj geldiği, 
  • Yapılan incelemelerde, veri sorumlusu ile herhangi bir ilişkisi olmayan üçüncü kişilerin veri sorumlusunun kullanımındaki veri tabanlarından herhangi bir sızıntı olmaksızın dışı kaynaklardan elde ettikleri elektronik posta adresleri/şifreler ile veri sorumlusuna ait internet sitesine giriş yaptıkları,
  • Anılan kişi veya kişilerin ellerindeki e-posta şifre bilgilerini 14.000’den fazla IP’den bağlantı kurarak ve 500.000’in üzerinde e-posta/şifre kombinasyonunun sitede denedikleri, her başarısız denemeden sonra bir başka e-posta/şifre denemesi yaptıkları ve bu yolla 2092 site kullanıcısının hesaplarının şifrelerini doğruladıklarının tespit edildiği,
  • İhlalden etkilenen kişisel verilerin müşterilere ait ad, soyad, cep telefonu numarası, e-posta adresi, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgileri olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri sorumlusunun kendi olağan trafiğine ek bu trafiğin veri sorumlusunca fark edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta sonucunda ihlalin tespit edilebildiği,
  • İhlali gerçekleştiren kişi ya da kişiler tarafından veri sorumlusu dışı kaynaklardan elde edildiği belirtilen e-posta/şifre kombinasyonlarına ilişkin denemeler yapıldığı veri sorumlusu tarafından belirtilmiş olup, Rehber’de yer alan 3.2. “Kişisel Veri Güvenliğinin Takibi” maddesi çerçevesinde hesabına giriş yapılan 2092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğu

hususları dikkate alındığında Kanunun 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 210.000 TL idari para cezası uygulanmasına karar verilmiştir.

5) “İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Veri ihlalinin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber saldırı olarak veri sorumlusunun yetkili kullanıcı şifresi ele geçirilerek sistemlerine erişimin engellenmesi şeklinde gerçekleştiği ve saldırının çalışanlarının sistemlere erişememesi sonucu tespit edildiği,
  • Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği,
  • Veri sorumlusunun yaptığı incelemede, ihlalin yapılmış olduğu bilgisayarın tespit edildiği ve şüpheliler aleyhine İstanbul Cumhuriyet Başsavcılığına şikâyette bulunulduğu,
  • Saldırının veri sorumlusunun siber güvenlik desteği almakta olduğu firmaya ait IP adresi üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği ve bu tespitin firma tarafından kabul edildiği, ihlali gerçekleştiren siber güvenlik desteği alınan firmanın çalışanının aynı zamanda veri sorumlusu eski çalışanı olduğu,
  • İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu ancak 1000 kişi civarında olduğunun tahmin edildiği ve ihlalden özel nitelikli kişisel verilerinde etkilenmiş olabileceği,

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerektiği ve bu durumun Rehber’in 3.2. maddesinde; “Kişisel Veri Güvenliğinin Takibi” başlığı altında belirtilen ifadelerine aykırılık teşkil ettiği, 
  • Veri sorumlusunun, sunucularının yedek dosyalarının depolandığı Data Domain sunucusunda yer alan verilerinin de silinmesinin, Rehber’in 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altındaki ifadelerine aykırılık teşkil ettiği, 

hususları dikkate alındığında, Kanun’un 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18/1(b) maddesi uyarınca 125.000 TL idari para cezası uygulanmasına

  • İhlalden etkilenen şirket çalışanlarına 13.01.2020 tarihinde e-posta ile bildirim yapıldığı buna yönelik tevsik edici belgenin gönderildiği, ihlalden etkilenen şirket çalışanı dışındaki kişilere ise web sayfasından genel duyuru yapıldığı ve yapılan bu duyurunun ise Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararı gerekliliğine uygun olduğu, 
  • 11.01.2020 tarihinde gerçekleşen veri ihlali, 12.01.2020 tarihinde tespit edilmiş ve Kurumumuza 14.01.2020 tarihinde bildirilmiş olup veri sorumlusunun Kanunun 12/5 maddesinde yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne uygun hareket ettiği

hususları dikkate alındığında; Kanunun 12/5 maddesinde belirtilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne uygun davranan veri sorumlusu hakkında bu konuda yapılacak bir işlem bulunmadığına karar verilmiştir.

6) “Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/465 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Siber suçlularının “parola püskürtme” saldırısı ile veri sorumlusunun bilgi sistemleri iç ağına eriştiklerini bilgisinin 6 Mart 2019 tarihinde emniyet birimlerinin siber güvenlik uzmanları tarafından veri sorumlusuna bildirildiği ve saldırının, saldırganların kurumsal kullanıcı hesaplarında başarıyla kimlik doğrulaması yapmasını sağladığı,
  • Bilgilendirme sonrası, veri sorumlusu siber suçluları kendi dahili sistemlerinden çıkarmak için harici adli bilişim ve güvenlik uzmanlarını görevlendirdiği ve ek güvenlik önlemleri aldığı, ayrıca önde gelen bağımsız bir siber güvenlik firması tarafından yönetilen kapsamlı bir adli soruşturma çalışması başlattığı,
  • Saldırganlar, 5 kullanıcı hesabı için kimlik doğrulama anahtarını kaydettiği, bu da bir cep telefonu ortamı dışındaki XenDesktop Sanal Masaüstü Altyapısı ortamına erişimi mümkün kıldığı, 
  • Ekim 2018’den Mart 2019’a kadar altı ayrı durumda, Dosya Aktarım Protokolü ve Güvenli Dosya Aktarım Protokolü’nü kullanarak verileri dışarı sızdırdığı,
  • İhlalden 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin etkilendiği,
  • İhlalden etkilenen 18 çalışanına (7 eski çalışan, 11 halihazırda çalışıyor olan) ihlal sonrası posta yolu ile bildirim yapıldığı, fakat Türkiye’de ikamet ettikleri düşünülen 4 kişinin ise iletişim bilgileri kendilerinde mevcut olmadığı için bildirim yapamadıkları,

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık 5 ay sonra 06 Mart 2019’ da tespit ettiği ve bu durumun; Rehber’in 3.2. Kişisel Veri Güvenliğinin Takibi başlığındaki ifadesi gereği, veri sorumlusu tarafından gerekli güvenlik kontrol ve denetimlerinin zamanında yapılmadığının göstergesi olduğu,
  • Parola püskürtme saldırıları, çok sayıdaki hesaba zayıf olarak nitelendirilen parolalar kullanarak erişen kullanıcıların, parolalarının saldırganlar tarafından şifre tahmini yöntemiyle ele geçirilmesi şeklinde gerçekleştiği, söz konusu ihlalin; Rehber’in 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığındaki ifadesine göre, veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı,
  • Bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklanması sebebiyle, Rehber’in 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığındaki ifadeler gereği, bu gibi saldırılara karşı veri kaybı riskini azaltmaya yönelik gerekli idari tedbirleri almadıkları,

dikkate alındığında Kanunun 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu Kanunun 18/1(b) maddesi uyarınca 75.000 TL,

  • Veri ihlalinin Kurum’a ve ihlalden etkilenen ilgili kişilere ihlal tespit edildikten 55 gün sonra bildirim yaptığı

dikkate alındığında, Kanunun 12/5 maddesinde yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 50.000 TL olmak üzere toplam 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

7) “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/532 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu akıbet dosyası seçen sorgunun hatalı çalışması nedeniyle Otomatik Katılım Sistemi kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren akıbet dosyalarını söz konusu hata sebebiyle yanlış alıcılara gönderdiği, hataya sebebiyet veren uygulama 2010 yılında geliştirilmiş olup geliştirmede eski bir programdan yararlanıldığı,
  • Alt yapının ilk kez kurulmasından beri mevcut olan bir hatanın olduğu ve bu hatanın ilk kez içerisinde bulunduğumuz yıl bilgisinin son rakamının 0 olması sebebiyle gerçekleşebildiği, (Örneğin bu alt yapı, 2010 yılından önce geliştirilseydi ilk kez 2010 yılında karşılaşılacağı ancak 2010 yılından sonra geliştirildiği için ilk problem 2020’de yaşandığı),
  • İhlalden 367 gerçek kişiye ait kimlik (TCKN, ad soyad, doğum tarihi, SGK numarası), iletişim (telefon numarası, e-posta adresi), özlük (işe başlama tarihi) ve finans (IBAN numarası, katkı payı tutarı) verilerinin etkilendiği ve ihlalden etkilenen kişilere ihlal sonrası e-posta ile bildirim yapıldığı,
  • Yanlış kişisel veri dosyasının gönderildiği 854 firmaya yapılan bildirim aramaları ve e-posta gönderimleri sonunda: 543 firmanın, verileri sildiklerine dair açık teyit verdiği, irtibat bilgilerindeki sorunlar nedeniyle ulaşılamayan bütün firmalara da ayrıca posta yoluyla yazılı olarak bildirim yapılmış ve yanlış bilgilerin kaydedilmiş ise silindiğine dair teyitlerinin beklendiği beyan ettikleri, 

ifadelerine yer verilmiştir.

Kurul kararında özetle;

Veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklanması sebebiyle, Rehber’in 3.5.”Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı” başlığındaki ifade gereği veri ihlaline sebep olan yazılımdaki sistemsel hatanın veri güvenliğinin sağlanması amacıyla sürekli olarak takibinin gerektiği,

İhlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında 5 günlük bir gecikmenin bulunduğu hususunun, Rehber’in 3.2. Kişisel Veri Güvenliğinin Takibi başlığındaki ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,

İhlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmaması durumu ihlal bildiriminde belirtilse de sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğinden, veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği, 

dikkate alındığında Kanunun 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlale sebep olan hatanın istisnai bir durum olması ve ekonomik durumu da göz önünde bulundurularak Kanunun 18/1(b) maddesi uyarınca 30.000 TL idari para cezasının uygulanmasına,

  • Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
  • Veri sorumlusu tarafından ilgili kişilere posta göndermek suretiyle bildirim yapıldığı, söz konusu metnin tarafımızla paylaşıldığı

dikkate alındığında, veri sorumlusunun bildiriminin Kanunun 12/5 maddesinde yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne uygun olması nedeniyle Kanunun 18/1(b) maddesi uyarınca yapılacak bir işlem bulunmadığına karar verilmiştir.

8) “İnternetten market alışveriş hizmeti veren veri sorumlusunun veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 01.10.2020 tarih ve 2020/763 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • 400 kişilik bir alıcı grubuna e-posta gönderimi yapılması sırasında alıcı e-posta adreslerinin gizliliğinin korunması amacıyla tüm alıcıların ilgili toplu e-postanın BCC kısmına eklendiği, söz konusu işlem sırasında, e-posta gönderimini yapan çalışan tarafından e-postanın konu kısmına hataen 43 müşteriye ait e-posta adresinin eklendiği, bu nedenle, e-postanın konu kısmında e-posta adresi yer alan 43 alıcı bilgisinin, e-posta gönderimi yapılan 400 kişilik alıcı grubu ile paylaşıldığı,
  • Söz konusu e-posta gönderimi yapılır yapılmaz, mailin hataen yukarıda belirtilen şekilde iletilmesinin çalışan tarafından tespit edildiği ve ivedi aksiyon alınması için Teknoloji Departmanından sorumlu kişilerle iletişime geçildiği, ancak e-postanın geri alınmasının mümkün olamayacağının öğrenildiği,
  • İhlalden müşterilere ait e-posta adresi bilgilerinin etkilendiği, e-posta adreslerinin kişinin adı-soyadını da içerebildiği, bu nedenle ihlalden kimlik ve iletişim verilerinin etkilendiği, 43 ilgili kişinin söz konusu paylaşım hakkında bilgilendirildiği ve ilgili kişilerin ihlalden etkilenme düzeylerinin minimize edilmesinin sağlandığı,
  • İhlalin gerçekleşmesini takiben en kısa süre içerisinde (48 saat içerisinde) ilgili kişiler ile doğrudan e-posta adresleri üzerinden iletişime geçilerek 29.09.2020 tarihinde bildirim yapıldığı ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İlgili kişilere ihlale ilişkin bildirimde bulunulmuş olması ve tevsik edici belgelerin Kurumumuza iletilmiş olması,
  • İhlalden etkilenen ilgili kişiler üzerinde ihlalin olumsuz sonuç doğurma riskinin düşük olması,
  • Hatalı e-posta gönderimi yapılan 400 müşteriden ihlale konu e-postanın imha edilmesinin talep edilmiş olması,
  • Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kurumumuza veri ihlalini bildirme yükümlülüğünü yerine getirmiş olması hususları dikkate alındığında bu aşamada veri sorumlusu hakkında Kanunun 12 nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

9) “Enerji sektöründe faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 08/12/2020 tarih ve 2020/934 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Veri sorumlusunun kurumsal internet sitelerinde yayınlama amacıyla kurum içinde hazırlanmış ürün katalogları, dokümanlar, resimler ve sertifikaların yer aldığı bir kurum içi arşiv platformunun bulunduğu,
  • Yönetim tarafından kendisine verilen yetki kapsamında, platform kullanıcılarının eğitiminden sorumlu ve bu konuda yetkili bir çalışanın, platformunun kullanımı hakkında uygun şekilde eğitimi için profesyonel görevlerinin yürütülmesi amacıyla platform yöneticisiyle birlikte bir irtibat listesi hazırladığı,
  • Eğitimi düzenleyen çalışanın platform yöneticisi tarafından sağlanan kullanıcı listesini, yetkili üst düzey kullanıcıları tarafından erişim sağlanabilen bir ortak klasörde sakladığı, bu kullanıcılardan bir tanesinin irtibat listesi ararken kullanıcı listesinde sehven şifre bilgilerinin de bulunduğunu fark ettiği ve durumu raporladığı,
  • Söz konusu listede, sehven, kurum içi bir platformun kullanıcılarının şifrelerinin açık bir şekilde, kullanıcı adı, isim, profesyonel e-posta adresi gibi tanımlayıcılarla birlikte yer aldığı,
  • İhlalden etkilenen kişi ve kayıt sayısının 2 olduğu,

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlale ilişkin dosyanın erişimden kaldırılmadan önce yalnızca 8 kullanıcı tarafından erişilmiş olabileceği, söz konusu 8 kullanıcı ile görüşüldüğü tamamının gizlilik yükümlüklerini anladığını ve kabul ettiğini ve herhangi bir şifre bilgisini kullanmayacaklarını veya paylaşmayacaklarını teyit ettiği, ihlale konu olan verilerin niteliği gereği olumsuz etki doğurma olasılığının düşük olduğu,  
  • İhlalden sonra ilgili platformdaki şifrelerin maskelenmesinin sağlandığı, bunun da Rehber’in  4.1. Teknik Tedbirler Özet Tablosu’nda da yer aldığı üzere veri maskeleme tedbirine uygun olduğu,
  • İhlal gerçekleştikten sonra tespit edilen dosyanın veri sorumlusu tarafından ivedilikle ortadan kaldırıldığı, bu durumun da Rehber’in 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altında yer alan ifadeler kapsamında değerlendirilebileceği, 
  • İhlalden etkilenen platform kullanıcılarının şifrelerinin yenilendiği ve ilgili kullanıcılara şifrelerini değiştirmeleri için bir uyarı e-postası gönderildiği, bu tedbirin de ihlal sonrasında kişisel verilerin olumsuz etki doğurma olasılığı düşük olsa da veri sorumlusunun Rehber’in 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında yer alan tedbiri aldığının bir göstergesi olduğu

hususları dikkate alındığında, Kanunun 12/1 maddesi kapsamında bu aşamada yapılacak bir işlem bulunmadığı

  • Veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunmadığı,
  • Veri sorumlusunun çok uluslu bir yapısı olduğu ve etkilenen ilgili kişilerin bulunduğu ülkelerin tespit edilmesi ve ilgili ülkelerin bildirim yükümlülüklerinin tespit edilmesi ve değerlendirilmesi için gerekli süre göz önüne alındığında makul kabul edilebileceği,
  • Etkilenme ihtimali olan mevcut tüm kullanıcıların e-posta mesajıyla bilgilendirildiği ve aynı şifreyi kullanmış olabilecekleri diğer platformlar da dâhil şifrelerini değiştirmeleri konusunda uyarıldığı, yapılan bilgilendirmenin Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurlardan bazılarını barındırdığı, ancak, ihlalinin ne zaman gerçekleştiği ve kişisel veri ihlalinin olası sonuçları hakkında yeterli bilgi verilmediği 

dikkate alındığında, Kanunun 12/5 maddesi uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurula, Kurul’un ilgili Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması yönünde talimatlandırılmasına karar verilmiştir.

Yukarıda yer alan karar özetleri KVKK’nın web sitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/7037/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri adresi üzerinden ulaşabilirsiniz.

Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: