KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN DUBSMASH ŞİRKETİ HAKKINDA KARAR
04.09.2019
Kişisel Verileri Koruma Kurulu’na (“Kurul”) yapılan başvuruya ilişkin olarak Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında alınan karar 29.08.2019 tarihinde Kurul’un internet sitesinde özet halinde yayımlanmıştır.
Kurul’un 17.07.2019 tarihli 2019/222 numaralı kararı uyarınca Şirket tarafından 08.04.2019 ve 25.06.2019 tarihlerinde veri ihlali bildirimlerinde;
- 08.02.2019 tarihinde Dubsmash’ın gazeteci olduğunu iddia eden bir kişiden gelen e-posta vasıtasıyla veri ihlalinden haberdar olduğu, söz konusu gazetecinin ise karanlık ağda (Darknet) Dubsmash kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişi tarafından haberdar edildiği,
- İddiaları soruşturmak için bir dijital adli tıp firması ile anlaşıldığı ve inceleme başlatıldığı, 11 Şubat 2019’da Dubsmash’ın kullanıcı bilgilerini içeren veri tabanı kopyasının satın alındığı,
- Satın alınan veri tabanında bulunan kişilerin sayısına dayanarak, olayın Kasım 2018’de meydana geldiğinden şüphelenildiği,
- Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı,
- İhlalin tekrar yaşanmaması, güvenlik tedbirlerinin güçlendirilmesi, ağ ve sistemlerin güvenli olması da dahil olmak üzere gerekli adımların atıldığı,
- Dubsmash’ın kullanıcı sorularına cevap vermek için bir çağrı merkezi kurduğu, çağrı merkezi için yerli ve uluslararası telefon numaraları sağlandığı
ifade edilmiştir.
Bu doğrultuda Kurul tarafından inceleme ve değerlendirme neticesinde;
- Hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerinin Darknet web’te satıldığı,
- Bu bilgiler arasında kullanıcıların kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerin olduğu,
- Bu verilerin Kasım 2018 Şubat ayından beri satışta olduğunun tahmin edildiği,
- Veri ihlalinin nasıl gerçekleştiğinin bilinmediği,
- Veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğunu gösterdiği,
- Dubsmash’ın büyük çaptaki bu veri ihlaline rağmen kullanıcılarını bu konuda bilgilendirmediği,
- Dubsmash kullanıcılarının ancak belli bazı sitelerden verilerinin ihlal edilip edilmediğini öğrenebildikleri,
tespit edilmiştir.,
Bu doğrultuda Kurul tarafından,
- Veri güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirleri almadığı kanaatine varılarak Şirket hakkında 680.000-TL,
- 08.02.2019 tarihinde tespit edilen veri ihlalinin 27.02.2019 tarihinde Kuruma bildirildiği dikkate alındığında, KVKK’nın 12.maddesinin 5.fıkrası hükmünde yer alan “en kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulaması nedeniyle Şirket hakkında 50.000 TL,
olmak üzere toplamda 730.000-TL idari para cezasına uygulanmasına karar verilmiştir.
Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.
İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz