KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN YENİ KARARLAR YAYIMLANDI
04.10.2019
Kişisel Verileri Koruma Kurulu’na (“Kurul”) yapılan başvurulara ilişkin olarak Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında alınan iki adet karar Kurul’un internet sitesinde özet halinde yayımlanmıştır.
1. S Şans Oyunları A.Ş. Hakkında Veri İhlaline İlişkin Karar
S Şans Oyunları Şirketi tarafından Kurul’a gönderilen yazıda özetle; (i) Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği, (ii) veri sızıntısından şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları, (iii) veri ihlalinin gerçekleşme tarihinin bilinmediği, (iv) ihlalden etkilenen kişi sayısının belirlenemediği, (v) ihlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu, (vi) ihlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu, (vii) söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiğine ilişkin açıklamalarda bulunulmuştur. Bu kapsamda, Kurul tarafından 27.08.2019 tarihli 2019/254 sayılı Karar hükmedilmiştir.
Kurul tarafından yapılan incelemeler neticesinde;
- İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğuna,
- İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğuna,
- Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğuna,
- Şirket’in veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğuna,
Bu kapsamda Kurul tarafından;
- KVKK’nın 12.maddesinin 1.fıkrasının (a) bendinde belirtilen veri sorumlusunun; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu çerçevesinde Şirket hakkında KVKK’nın 18.maddesinin 1.fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,
- KVKK’nın 12. maddesinin (5) numaralı fıkrasında belirtilen “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir” hükmü çerçevesinde ilgili kişilere bildirim yapılmaması sebebiyle Şirket hakkında KVKK’nın 18. Maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Daha detaylı bilgiye buradan ulaşabilirsiniz.
2. Turizm Şirketi Hakkında Veri İhlaline İlişkin Karar
Bir turizm şirketinin Kurul’a iletilen bildirimin incelenmesi neticesinde Kurul tarafından 27.08.2019 tarihli 2019/225 sayılı Karar’a hükmedilmiştir.
Kurul tarafından yapılan incelemeler neticesinde özetle;
- Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğuna,
- Etkilenen kişisel verilerin personel verilerinden ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri; müşteri verilerinden ülke/eyalet, uyruk, doğum tarihi (DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi (DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No (DB-Veri tabanı seviyesinde şifreli), cinsiyet olduğuna,
- Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğuna,
- Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğuna,
- Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğuna,
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğuna,
- Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiğine,
- Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğuna,
karar verilmiştir.
Bu kapsamda Kurul tarafından;
- KVKK’nın 12.maddesinin 1.fıkrasının (a) bendinde belirtilen veri sorumlusunun; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu ile 3.fıkrasında yer alan “veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde Şirket hakkında KVKK’nın 18.maddesinin 1.fıkrasının (b) bendi kapsamında 400.000 TL idari para cezası uygulanmasına,
- Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin KVKK’nın 12. maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle KVKK’nın 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Daha detaylı bilgiye buradan ulaşabilirsiniz.
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz