Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 02.08.2021 tarihinde 11 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan son altısının özetini aşağıda bilgilerinize sunarız.

1) “Bir oyuncak perakendecisi veri sorumlusunun veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun (“Kurul”) 22/07/2020 tarih ve 2020/567 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Kötü niyetli kullanıcılar tarafından, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan “Üye Girişi” sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle meydana geldiği,
  • İhlalden etkilenen kişisel verilerin 29 müşteriye ait ad, soyad, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisinde daha önce satın alınan ürün bilgilerinin olduğu,
  • Şirkete ulaşan bir bildirim doğrultusunda bir internet sitesinde, veri sorumlusunun markasına ait 29 adet hesap ile ilgili bir içerikle karşılaşıldığı ve söz konusu içeriğe erişimin, ancak ilgili siteye üye olunduğu takdirde sağlanabildiği,
  • Söz konusu internet sitesi yöneticilerine bir ihtar gönderilerek internet sitesinde yer alan ihlale konu sayfanın kaldırılmasının sağlandığı 

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini veri ihlali sonrasında yayına almayı planladığı dikkate alındığında veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığı,
  • İhlalden etkilenen ilgili kişilerin hesaplarının şifreleri incelendiğinde müşteriler tarafından kullanılan şifrelerin sadece rakamlardan ya da sadece harf dizilerinden oluşabildiği, müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı,
  • İhlal sırasında web uygulama güvenlik duvarının yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği dikkate alındığında veri sorumlusunun uygulama güvenliğini sağlayamadığı

hususları dikkate alındığında 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca 75.000 TL idari para cezası uygulanmasına,

  • Veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunmadığı; ancak yaşanan 1 günlük bir gecikmenin pandemi süreci nedeniyle makul olduğuna ve bu çerçevede veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
  • İlgili kişilere yapılan bildirimin gerekliliklerini tam anlamıyla karşılamadığı dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararına uygun bir şekilde ilgili kişilere ihlale ilişkin bildirim yapması hususunda talimatlandırılmasına karar verilmiştir.

2) “Bir e-ticaret şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin, kaynağı ve zamanı tahmin edilemeyen şekilde internet üzerinde ifşa olmuş kullanıcı e-posta adresleri ve şifrelerinin, veri sorumlusunun internet sitesinin giriş ekranında, robot bir uygulama vasıtasıyla denenmesi şeklinde gerçekleştiği,
  • İhlalin, veri sorumlusunun bilgi güvenliği ekibi tarafından, olayın gerçekleştiği gecenin sabahı, mesai başlangıcında yapılan rutin kontroller sırasında tespit edildiği, müteakiben vaka hakkında detaylı araştırma başlatıldığı, 
  • İhlalden etkilenen kişi ve kayıt sayısının 832 olduğu,kullanıcılara e-posta aracılığıyla bildirimde bulunulduğu, bildirimlerin, olaya ilişkin inceleme ve tespitler tamamlandıktan sonra derhal yapıldığı, 

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik, iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu,
  • Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, sınırlandırma tedbirini önceden almış olması halinde ihlalin gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği,
  • Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığı,
  • “Web uygulaması güvenlik duvarı” üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra alındığı, 
  • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da bahsi geçen internet sitesinin kullanım düzeyi ve içerisinde yer alan kişisel veriler düşünüldüğünde veri sorumlusunun ilgili tedbirleri almamasının ihlal sonucunda potansiyel tehdit açısından ciddi bir risk taşıdığı

değerlendirmelerinden hareketle; Kanun’un 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18/(b) maddesi uyarınca 165.000 TL idari para cezası uygulanmasına,

  • Kanunun 12/5 maddesi kapsamında Kurul’un ilgili Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunduğu, öte yandan veri sorumlusu tarafından ilgili kişilere bildirim yapıldığı dikkate alındığında, veri sorumlusu hakkında Kanunun 12/5 fıkrası kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. 

3) “Bir teknoloji şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 22/10/2020 tarih ve 2020/816 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin, mağazada yapılan bir alışveriş sonrasında adına e-fatura düzenlenen müşterinin sistemde kayıtlı e-posta adresine ilgili faturanın gönderilmesi neticesinde bu faturanın aynı ad ve soyada sahip farklı bir müşteriye ulaşması neticesinde gerçekleştiği,
  • Bu durumun kişilerin GSM-1 ve GSM-2 olarak oluşturulan kayıtları arasına aynı telefon numarasının bir müşteri için GSM-1, diğer müşteri için GSM-2 olarak kaydedilmiş olması nedeniyle fatura gönderiminde hatalı e-posta adresine ulaşılması nedeniyle meydana geldiği,
  • 15.10.2020 tarihinde kişisel verileri ihlal edilen müşteri ile aynı ad ve soyada sahip müşterinin müşteri hizmetlerini arayarak kendisine iletilmiş olan e-mailde yer alan faturanın kendisine ait olmadığı bilgisini vermesi üzerine sistem üzerinden kontroller gerçekleştirilerek ihlalin tespit edildiği,
  • İhlalden etkilenen kişisel verilerin; müşterinin adı soyadı, T.C. Kimlik Numarası, cep telefonu numarası ve fatura bilgileri olduğu,
  • İhlal edilen kişisel verilerin olumsuz etki doğurması yüksek olmayan kişisel veriler olduğu ve aynı zamanda ihlalin etkisinin azaltılması amacıyla ilgili kişiye bildirim yapılması ve sehven gönderilen e-postanın silinmesi gibi gerekli işlemlerin gerçekleştirildiği,
  • İhlalden etkilenen kişi sayısının 1;  kayıt sayısının 4 olduğu ve ilgili kişiye telefon görüşmesi ile bildirim yapıldığı

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının düşük olduğu,
  • İhlale konu e-postanın silinmesinin sağlandığı,
  • Veri sorumlusunun ihlale kısa zamanda müdahale ettiği

hususları dikkate alındığında, bu aşamada veri sorumlusu hakkında Kanun’un 12. maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

4) “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 08/12/2020 tarih ve 2020/935 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • Sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi  tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, dolayısıyla gerçek kişiye ait sağlık verisinin, konunun tarafı olmayan başka bir müşteri ile paylaşıldığı,
  • Veri Kaybı Önleme Sistemi düzenli kontrolleri sırasında, sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği ve ilgili birimlere aksiyon alınması için iletildiği,
  • Sehven iletilen poliçe muafiyet bildiriminde, ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği ve poliçe muafiyetinin, ilgili kişinin bu rahatsızlıklara sahip olması veya sahip olduğu şüphesi olması sebebiyle yazıldığından, ilgili kişinin sağlık verisinin işlendiği,
  • Veri sorumlusunun Müşteri İletişim Merkezi çalışanlarının müşteriyle direkt temasta olduklarından dolayı düzenli eğitimlere tabi olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlalden 1 kişinin etkilendiği,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve sağlık bilgileri olduğu,
  • Veri sorumlusunun 72 saatlik süre içinde Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirdiği,
  • İlgili kişilere ihlale ilişkin bildirim yapılacağının belirtildiği

hususları dikkate alındığında veri sorumlusu hakkında Kanun’un 12. maddesi kapsamında bu aşamada yapılacak bir işlem bulunmadığına, öte yandan veri sorumlusu tarafından ilgili kişiye bildirim yapılması ve söz konusu bildirimin yapıldığı ile bahse konu verilerin sehven gönderilen müşteri nezdinde silindiğine dair belgelerin Kurum’a iletilmesi hususunda talimatlandırılmasına karar verilmiştir.

5) Bir ilaç şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 15/12/2020 tarih ve 2020/957 sayılı Karar Özeti: Kurum’a intikal eden veri ihlal bildiriminde özetle;

  • İhlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata meydana gelmesi ile oluştuğu ve 337 çalışanın bordrosunun yanlış çalışanlara gönderildiği,
  • İhlalin yanlış bordro giden bir çalışanın e-posta yoluyla İnsan Kaynakları Departmanına bilgi vermesi sonucu anlaşıldığı,
  • İhlalin 27.11.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği, 
  • Teknik eşleştirme hatası nedeniyle çalışanın aylık bordrosuna, başka bir çalışan tarafından erişilebilmesinin mümkün olduğu,
  • Bordroların, çalışanın o ayki maaş bilgisi ve ad- soyad, banka hesap numarası ve T.C. kimlik numarası gibi kişisel veriler içerdiği, ihlalden etkilenen kişi sayısının 337; kayıt sayısının 1348 olduğu

ifadelerine yer verilmiştir.

Kurul kararında özetle;

  • İhlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu,
  • İhlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı,
  • İhlale sebep olan konuda ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı

dikkate alındığında Kanunun 12/1 maddesi kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına,

  • İhlalin tespit tarihinden sonra 72 saat içinde Kurula bildirilmemiş olduğu dikkate alındığında, Kanunun 12/5 maddesi uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurula, Kurul’un ilgili kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması, ayrıca ilgili kişilere bildirim yapıldığına ve e-postanın gönderildiği kişilere e-postanın silinmesi yönünde uyarının yapıldığına ilişkin belgelerin Kurum’a gönderilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.

6) “Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağladığına ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılmasına ilişkin ihbarlar hakkında” Kişisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Karar Özeti: Kurum’a intikal eden ihbarlarda özetle;

  • Alacaklı vekili avukatların, icra tevzi bürolarına başvuruda bulunup borçluların alacaklı olduğu icra takip dosyalarının bilgilerini haksız bir şekilde elde ettiği, ayrıca avukatların bu sayede, icra dairesinde diledikleri dosyaları da inceleyebildiği, her ne kadar avukatın dosyanın bir örneğini alması vekâlet sunmasına bağlı olsa da kişisel verilere yetkisiz kişilerin erişiminin engellenmesinin veri sorumlularına verilen görevlerden biri olduğu ve aksinin Kanun’a aykırılık teşkil ettiği belirtilmiş,
  • Bu kapsamda yapılan aktarımların ve avukatlar tarafından vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere erişimin Kanuna aykırı olduğunun tespit edilmesi, bu durumun düzeltilmesi için Adalet Bakanlığı nezdinde ivedilikle girişimlerde bulunulması ve gerekli idari yaptırımların uygulanması talep edilmiştir. Yapılan ihbarlara binaen Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiştir.

Kurul kararında özetle;

  • 2004 sayılı İcra ve İflas Kanununun 85/1 maddesinde haciz yoluyla takip kapsamında borçlunun taşınır ve taşınmaz malları ile alacak ve haklarına haciz konulabileceğinin öngörüldüğü ve bu kapsamda, borçlunun alacaklı olduğu icra dosyalarına konu alacaklara da haciz konulmasının mümkün olduğu;
  • Diğer taraftan, 1136 sayılı Avukatlık Kanununun ,“İşlerin stajyer veya sekreterle takibi, dava dosyalarının incelenmesi ve dosyadan örnek alma” başlıklı 46. maddesi ve “Avukatlığın amacı” başlıklı 2/3 maddesi uyarınca avukatların vekâletname sunmasına gerek olmaksızın icra takip dosyalarını inceleyebileceğinin ve ilgili makamların da avukatlara bu konuda gerekli imkanları sağlamakla yükümlü kılındığının anlaşıldığı;
  • Bununla birlikte, 2004 sayılı İcra ve İflas Kanununun “Elektronik işlemler” başlıklı 8/a(6) maddesi ile 22.07.2020 tarihli ve 7251 sayılı Kanunla değişik 78/1 maddesi uyarınca alacaklı vekili avukatların, Ulusal Yargı Ağı Bilişim Sistemi üzerinden borçlunun alacaklı olduğu icra dosyaları dahil olmak üzere mal, hak veya alacağı hakkında sorgulama yapabileceği değerlendirmelerinden hareketle;

Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Yukarıda yer alan karar özetleri KVKK’nın web sitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/7021/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri   adresi üzerinden ulaşabilirsiniz.

Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a comment