Yayınlar
KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 05.07.2021 TARİHİNDE YAYINLANAN KURUL KARARLARININ ÖZETLERİ

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 05.07.2021 TARİHİNDE YAYINLANAN KURUL KARARLARININ ÖZETLERİ

1. “Bir kozmetik şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Karar Özeti

Bir kozmetik şirketinin internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlanmış ve uygulama sunucuları yetersiz kalmış olup site içerisinde çalışmayan bir fonksiyon sebebiyle kullanıcı profillerinin bir kopyası üye girişi yapan diğer kullanıcılara rastgele bir şekilde görünür olmuştur. Rastgele bir şekilde görüntülenen profillerde ad-soyad, e-posta ve adres gibi kişisel veriler yer almakta olup bu veriler 48 dakika boyunca diğer kullanıcılar tarafından görünür halde kalmıştır. Söz konusu fonksiyon canlı ortama alınmadan önce teste tabi tutulmuş olsa da bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusunun kampanya sebebiyle yoğunluğun yüksek olacağını
öngörmeyerek bu yoğunluğa uygun yazılım kontrollerini gerçekleştirmemesi, “şifreleme ve maskeleme” önlemlerini ancak ihlalin gerçekleşmesinden sonra almayı planlaması ve risk odaklı yaklaşım çerçevesinde Kişisel Veri Güvenliği Rehberi’nde sıralanan veri sorumlusu yükümlülüklerine uygun hareket etmediği belirlenmiş olup Kişisel Verilerin Korunması Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir. Veri sorumlusunun ihlali öğrenmesinden itibaren başlayan 72 saatlik süre içerisinde Kuruma bildirimde bulunması ve ilgili kişilere ihlalin bildirimine ilişkin e-posta göndermesi dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarıca, bu aşamada yapılacak bir işlemin olmadığına karar verilmiştir.

2. “Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Karar Özeti

Bankacılık sektöründeki çalışanın söz konusu müşterinin kimlik görüntüsünü amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşılması suretiyle gerçekleşen veri ihlalinin çalışanın münferit davranışlarından kaynaklı olduğu sonucuna varılmıştır. Kişisel Veri Güvenliği Rehberi’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemelerine aykırılık teşkil ettiği tespit edilmiştir. Bununla birlikte veri sorumlusu bünyesinde Çağrı Merkezi Takım Lideri olarak görev yapan çalışanların, müşterilerin rızası dışında, müşteri bilgilerine sınırsız sayıda sorgulama yaparak erişebildiği, söz konusu çalışanlar için gerekli ölçüde yetki verilmediği dikkate alındığında Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Siber Güvenliğin Sağlanması başlığı altındaki “… kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve … ilgili sistemlere erişim sağlanmalıdır.” tedbirlerine aykırılık teşkil ettiği ve başka şube müşterisinin bilgilerini sorgulamak isteyen çalışanlara erişecekleri verileri iş ihtiyacı kapsamında ve görev tanımıyla uyumlu bir şekilde kullanabileceklerine dair uyarı sisteminin ancak veri ihlalinin gerçekleşmesinden sonra geliştirildiği; veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

3. “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/187 sayılı Karar Özeti

Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle emeklilik hizmeti kapsamında müşteri olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine ait bilgilerin, sistem kapsamındaki 28 işveren şirkete sistemsel olarak hatalı gönderilmesi ile ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği görülmüştür. İhlalden etkilenen kişisel veriler TCKN / Mavi Kart No, Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu saptanmıştır. Veri ihlaline sebep olan sistemsel hata uygulama yazılımından kaynaklanmış olup Kişisel Veri Güvenliği Rehberi’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında belirtilen bu tip hataların işlem yayına alınmadan evvel düzeltilmesi yükümlülüğüne uyulmamış; ihlale konu olaydan önce tespitinin yapılmadığı saptanmıştır. Buna ek olarak ihlale konu olayın gerçekleşme tarihi ile tespit tarihi araında yaklaşık 2 yıllık bir gecikmenin bulunması yine Kişisel Veri Güvenliği Rehberi
uyarınca veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu ve ihlalin veri sorumlusu tarafından kendiliğinden tespit edilmediği bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğu hususları dikkate alındığında, Kişisel Verilerin Korunması Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorulusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar verilmiştir. Bununla birlikte ihalale sebep olan hatanın veri sorumlusunun veri ihlalini öğrenmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı, ihlalden etkilenen kişilere ihlale dair e-posta yoluyla bildiririm yapıldığı saptanmakla birlikte ilgili kişilere yapılacak bildirimin Kurul tarafından belirlenen asgari unsurlardan ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hususlarında eksiklikler olduğu dikkate alındığında bundan sonra ilgili kişilere yapılacak bildirimlerde Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunulması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

4. “Bir sigorta şirketinin veri ihalal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 25.02.2021 tarih ve 2021/154 sayılı Karar Özeti

Karara konu olan ihlal, veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleşmiş olup söz konusu ihlal veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafından tespit edilmiştir. İhlalden etkilenen veriler kimlik, iletişim ve araç plaka numaraları olup etkilenen kişi sayısının 544 olduğu saptanmış ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verilmiştir. DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu ancak Kişisel Veri Güvenliği Rehberi’nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığı ve “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…” gerekmektedir ifadesine aykırılık teşkil ettiği saptanmıştır. İhlale konu e-posta gönderimlerinin; Kasım ve Aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususundan hareketle “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığı anlaşılmıştır. Bununla birlikte “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği, veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği dikkate alındığında Kişisel Verilerin Korunması Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına karar verilmiştir.

5. “Bir Bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 29.09.2020 tarih ve 2020/744 sayılı Karar Özeti

Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği Bankanın Veri Sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen
bildirime istinaden tespit edilmiş olup ihlalden etkilenen kişisel veriler kimlik, iletişim, müşteri işlem ve finans verileri olduğu saptanmıştır. Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımını gerçekleştirilebildiği dikkate alındığında, Kişisel Veri Güvenliği Rehberi’nde yer alan veri sorumlusunun işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşmesi olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması yükümlülüğünün yerine getirilirken veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı saptanmış olup bununla birlikte Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346 müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve bu durumunda veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığı dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 225.000 TL idari para cezası uygulanmasına karar verilmiştir. Buna ek
olarak veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun
18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL olmak üzere toplam 275.000 TL idari para cezası uygulanmasına karar verilmiştir

İlgili yazılar
error: Content is protected !!
Back To Top