Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 02.08.2021 tarihinde 11 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan ilk beşinin özetini aşağıda bilgilerinize sunarız.

1)“Bir perakende giyim firmasının veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun(Kurul) 18/06/2019 tarih ve 2019/170 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
  • Konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine yönlendirildiğinin öğrenildiği (Türkiye’deki ilgili kişilerin bu yedi adet URL’den iki tanesinde gerçekleşen hatadan etkilendiği), 
  • İhlalden etkilenen ilgili kişi sayısının 44 olduğu ve etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler olduğu,
  • Şirketin Kurumumuzu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği,ilgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,

  • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı dikkate alındığında sürenin makul olduğu değerlendirildiğinden bu konuda Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

2) “Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Veri sorumlusunun internet sitesinden ve mobil uygulaması üzerinden ticari faaliyet amacı olmayan satıcılara ikinci el ürünlerini satmaları için bir aracı hizmet sağlayıcısı olarak teknik alt yapı sunduğu,
  • Şirkete, internet sitesinin hacklendiği iddiasının iletildiği,
  • Veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlemesinin de bu sırada gerçekleşmiş olabileceği,
  • Azami 257.000 kişinin etkilenme ihtimalinin bulunduğu ancak veri sorumlusu tarafından 25 kişi dışında kimsenin veri ihlalinden etkilenmiş olduğuna dair kayıt tespit edilmediği,
  • İhlalden etkilenen ilgili kişi kategorilerinin kullanıcılar olduğu ve kayıtlı kullanıcılara bildirimde bulunulduğu
  • İhlalden etkilendiği belirtilen kişisel verilerin ad, soyadı, e-posta adresi, kriptolanmış kullanıcı hesabı şifreleri olduğu, 973.147 üyeye kadar olan kullanıcılardan 172.490 adedinin sisteme Facebook profili üzerinden kayıt olduğu için e-posta adreslerinin sistemde bulunmadığı, ancak veri ihlalinin gerçekleştirildiği e-posta adresi ile Şirket arasında yapılan konuşmalarda; tüm veri tabanları, kaynak kodlar, dosya ve müşteri verilerinin ele geçirildiğinin iddia edildiği,
  • İhlalden özel nitelikli kişisel verilerin etkilenmediği,

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı,
  • İhlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek zafiyetlerin bulunduğu,
  • Politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği,

 dikkate alınarak Kanun’un 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

3) “Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin işlem dışı ve Banka sisteminde kayıtlı diğer müşterilere gönderilmesi şeklinde gerçekleştiği,
  • İlgili kişilere SMS ve e-posta kanalıyla bilgilendirmenin yapıldığı,
  • İhlalden etkilenen kişi sayısının 905; kayıt sayısının 1831 olduğu, etkilenen kişi kategorilerinin müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) olduğu,

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin, ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin işlem dışı ve Banka sisteminde kayıtlı, diğer müşterilere gönderilmesi şeklinde gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik, müşteri işlem ve finans bilgileri gibi kişisel verilerinin etkilendiği,
  • Sehven gönderildiği bildirilen bildirimlerin, veri sorumlusu mail ve SMS gönderimleri için kullandığı bir iç sistem uygulaması ile yapıldığı, ihlale konu olayda teknik anlamda, “kullanılması gereken fonksiyon ve metodun doğru kullanılmasına rağmen parametrelerde yeterli kontrol konulmadığının anlaşıldığı, ilgili geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu”, bu teknik tedbir eksikliğinin de ihlale yol açtığı, uygulama sisteminin hata sonucu veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için yerleştirilen kontrol mekanizmasının yeterli düzeyde olmadığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiği

dikkate alındığında, Kanunun 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 75.000 TL idari para cezasının uygulanmasına,

  • İhlal bildirimin Kurum’a 72 saat içinde gönderildiği, ayrıca veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğu dikkate alındığında, veri sorumlusu hakkında Kanunun 12/5 maddesinde yer alan bildirim yükümlülüğü uyarınca yapılacak bir işlem olmadığına karar verilmiştir.

4) “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/357 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Veri sorumlusunun Çağrı Merkezi Birimi tarafından Teftiş Kuruluna; Çağrı Merkezi Satış Temsilcisi olarak dış kaynak sözleşmesi çerçevesinde çalışmakta olan bir çalışanın veri sorumlusunun ana sigortacılık ekranları vasıtasıyla müşterilerin poliçe bilgilerini, portföy takibi için kullandığı yönündeki tereddütlerin iletilmesi üzerine, Teftiş Kurulu Başkanlığınca inceleme yapılmasına karar verilmiş olduğu, bu çalışma çerçevesinde elde edilen bulgular neticesinde ihlalin gerçekleştiğinin anlaşıldığı,
  • Veri sorumlusunun yapmış olduğu Teftiş Kurulu incelemesi neticesinde; sistemlerinde tutulmakta olan isim-soyisim, iletişim, plaka bilgilerinin yer aldığı listeyi taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine 22.10.2019 ve 24.10.2019 tarihlerinde göndermesi sonucu veri ihlali gerçekleştiğinin tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının 91 olduğu, 
  • İhlalden etkilenen kişisel veri kategorilerinin müşterilere ait kimlik, iletişim ve risk yönetimi bilgisi olduğu,
  • Veri sorumlusu nezdinde kullanılan veri sızıntısı önleme uygulamasının, belirli anahtar kelimeleri yakalamak üzere kurgulandığı ancak veri sızıntısına konu olan ihlal, bu anahtar kelimeleri içermediğinden herhangi bir uyarının oluşmadığı,
  • Veri ihlal bildiriminin yapıldığı tarih itibariyle ihlal ile ilgili olan çalışanların tamamının kişisel veri koruma eğitimi almadığı, ancak çalışan sayısının fazla olması ve şirketin iş faaliyetlerindeki yoğunluk nedeniyle ve ilgili eğitimler kapsamında azami faydayı sağlayabilmek adına eğitimlerin tek bir seferde tüm çalışanlara bir arada değil de farklı gruplar halinde verilecek şekilde planlandığı, bu nedenle, sürecin veri sorumlusu çalışanlarının bir kısmı için tamamlanmış olduğu ve geriye kalan kısım için devam etmekte olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlal konusu olan kişisel verilerin veri sızıntısı önleme uygulamasında tanımlanabilir kişisel veriler olduğu dikkate alındığında bu durumun kişisel veri güvenliğine ilişkin doğru ve tutarlı bir prosedürün, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmediğinin göstergesi olduğu,
  • Teftiş Kuruluna; ilgili tereddütlerin iletilmesi üzerine yapılan inceleme ile veri ihlalinin, gerçekleşmesinden yaklaşık iki ay sonra ancak tespit edilebildiği ve söz konusu tereddütlerin Teftiş Kuruluna bildirilmemesi veya tereddütlerin oluşmaması durumunda ihlalin tespit edilemeyeceğinin anlaşıldığı dikkate alındığında alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetiminin kurgulanmadığı ve bu nedenle veri sorumlusunun, Kurum’un yayınlamış olduğu “Kişisel Veri Güvenliği Rehberi”nde de belirtilen bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının takip edilmesi noktasında alınan teknik tedbirler açısından yetersiz kaldığı,
  • Veri ihlali öncesinde veri ihlali ile ilgili çalışanların tamamının kişisel veri koruma eğitimi almadığı ve ihlali gerçekleştiren çalışan için de bu eğitiminin atanmış olduğu ancak almadığı dikkate alındığında bu durumun veri sorumlusunun kişisel veri güvenliğinin sağlanması bakımından yeterli idari tedbirleri almadığının göstergesi olduğu

değerlendirmelerinden hareketle Kanun’un 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 90.000 TL idari para cezası uygulanmasına,

  • İhlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurum’a bildirimde bulunduğu, ilgili kişilere gerekli bildirimlerin yapıldığı ve bildirim örneklerinin Kurum’a gönderildiği dikkate alındığında veri sorumlusu hakkında Kanun’un 12/5 maddesinde yer alan bildirim yükümlülüğü uyarınca yapılacak bir işlem olmadığına karar verilmiştir.

5) “Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/530 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Bankanın denetim ekiplerinin aldıkları bir ihbar üzerine yaptığı inceleme sonucunda bir Banka personelinin, 23 adet Banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (KBB) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasında Whatsapp uygulaması aracılığıyla bir tanıdığı ile paylaştığının tespit edildiği,
  • Personelin 23 Banka müşterisine ait paylaşımlardan menfaat temin ettiğine dair somut bir tespite ulaşılmadığı,
  • 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soyadı bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin ihlalden etkilendiği, özel nitelikli kişisel verilerin etkilenmediği, ihlalden etkilenen ilgili kişi gruplarının müşteriler olduğu,
  • İhlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı 

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Toplamda 23 kişiye ait kişisel verilerin etkilenmiş olduğunun belirtildiği; ancak ihlale sebebiyet veren personelin 01.01.2019-05.12.2019 tarihleri arasında 1.052 kişi için 10.529 adet KKB sorgulaması gerçekleştirdiği, 
  • Kişi sayısı göz önüne alındığında Kurum’a gönderilen ekran görüntülerinde yer alan 23 kişiden daha fazla kişinin etkilenmiş olabileceği, söz konusu sorgulama miktarı ile aynı bölgede yer alan diğer personeller içerisinde kişinin 1. sırada olduğu, personelin bu husus ile ilgili makul bir açıklamasının olmadığı, veri sorumlusu tarafından da personelin müşterilere ilişkin bilgileri Banka dışına sızdırmış olabileceği yönünde şüphe oluştuğu, 
  • İhlal öncesinde veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı,
  • Durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmadığı,
  • Veri sorumlusunca gerçekleştirilen “Kişisel Verilerin Korunması Kanunu Eğitimi”nin yeterli olmadığı 

kanaatine varıldığından Kanunun 12/1 maddesi çerçevesinde veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18/1(b) maddesi uyarınca 200.000 TL idari para cezasının uygulanmasına karar verilmiştir.

Yukarıda yer alan karar özetleri KVKK’nın web sitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/7021/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri   adresi üzerinden ulaşabilirsiniz.

Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: