Kişisel Verileri Koruma Kurulu’na (“Kurul”) yapılan başvurulara ilişkin olarak Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında alınan üç adet karar Kurul’un internet sitesinde özet halinde yayımlanmıştır.
1. Clickbus Seyahat Hizmetleri A.Ş. Kararı
Clickbus Seyahat Hizmetleri A.Ş. (“Clickbus”) tarafından 07.02.2019 ve 29.03.2019 tarihlerinde Kurul’a bildirimde bulunularak “kendi internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek bilişim uzmanları tarafından inceleme yaptırıldığı ve işbu inceleme sonucu bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği ve bu yolla bir veri sızıntısının gerçekleştiği” beyan edilmiştir.
25.09.2018 - 25.11.2018 tarihleri arasında gerçekleşen bu sızıntı bağlamındaki ihbarın incelenmesi neticesinde Kurul tarafından 16.05.2019 tarihli ve 2019/141 numaralı Karar’a hükmedilmiştir. İşbu karar uyarınca; (i) söz konusu veri ihlalinden 67.519 kişinin etkilendiği ve ihlalden etkilenen kişilerin kimlik bilgileri, iletişim bilgileri, müşteri işlemleri, işlem güvenliği bilgileri gibi farklı nitelikte ve sayıda kişisel verilerinin mevcut olduğu, (ii) veri ihlalinin 2 ay boyunca devam etmesinin veri sorumlusu Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu, (iii) veri ihlalinin 21.11.2018 tarihinde tespit edilmiş olmasına rağmen 25.11.2018 tarihine kadar devam etmesinin veri sorumlusu Şirket tarafından alınan idari tedbirlerinin yetersizliğinin göstergesi olduğu tespit edilmiştir.
Bu doğrultuda Kurul tarafından Clickbus hakkında;
- KVKK’nın 12. maddesinin 1. fıkrasına aykırı olarak, kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle 450.000 TL,
- Siber saldırının 21.11.2018 tarihinde tespit edilmesine karşın Kurul’a 07.02.2019 tarihinde, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılması sonucunda KVKK’nın 12.maddesinin 5.fıkrasında düzenlenen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırı davranıldığından bahisle 100.000 TL
olmak üzere toplam 550.000 TL idari para cezası uygulanmasına karar verilmiştir.
Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.
2. Marriott International Inc. Kararı
Marriott International Inc. (“Marriott”) tarafından 04.12.2018 ve 28.03.2019 tarihlerinde Kurul’a bildirimde bulunularak “(i) 2016 yılı Eylül ayı içerisinde Marriott tarafından Starwood Hotels & Resorts Worldwide Inc'nin (“Starwood”) devralındığı, (ii) Starwood veritabanın tutulduğu ağa Temmuz 2014’ten beri yetkisiz erişimin bulunduğu ve yetkisiz erişimin 08.09.2018’de tespit edildiği, (iii) Starwood müşteri rezervasyon veritabanın Starwood markası altında bulunan otellerin tamamında kullanıldığı ve Marriott’un yaklaşık 383 milyon müşteri kaydı arasında Türkiye adresli olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu ve (iv) otel müşterilerinin işbu veri ihlali hakkında bilgilendirilmesi amacıyla özel bir web sitesinin kurulduğu” beyan edilmiştir.
İhbarın incelenmesi neticesinde Kurul “ihlalin 2016 yılı Eylül ayında Marriott’un Starwood’u devralma işlemi gerçekleştirdikten sonra da yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığına işaret ettiğine ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğuna” dair tespitlerde bulunmuştur.
Bu kapsamda Kurul tarafından Marriott hakkında;
olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.
Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.
3. Cathay Pasific Airway Limited Kararı
Cathay Pasific Airway Limited (“Cathay Pasific”) tarafından 25.10.2018 ve 08.03.2019 tarihlerinde Kurul’a yapılmış olunan veri ihlali bildirimlerinde “13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, Cathay Pasific tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği, Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği” beyan edilmiştir.
Kurul, kararında, Cathay Pasific’in Mart 2018 tarihinde şüpheli hareketlerden haberdar olmasına rağmen ihlali yaklaşık 2 ay sonra tespit ettiğini, Cathay Pasific tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ile bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS) gibi çeşitli sistemleri etkilemesinin Cathay Pasific’in donanım ve yazılım yapılandırmalarını doğru bir şekilde yapmamasından ve alınan güvenlik önlemlerinin yetersizliğinden kaynaklandığı belirtilmiştir.
Bu kapsamda Kurul tarafından Cathay Pasific hakkında;
olmak üzere toplam 550.000 TL idari para cezası ile cezalandırılmasına karar verilmiştir.
Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.
İşbu yazı hakkında ek bilgi gerektiğinde bizlerle irtibata geçmenizi rica ederiz.
|
NAZALI HUKUK |