KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN 24.06.2020 TARİHİNDE YAYIMLANAN KARAR ÖZETLERİNE İLİŞKİN DEĞERLENDİRME

30 Haziran 2020

Kurul tarafından 23.06.2020 ve 24.06.2020 tarihlerinde yayımlanan Kurul’un yayınlamış olduğu veri ihlal bildirimlerine ve Kurul kararlarına ilişkin değerlendirmelerimiz yazımızın devamında dikkatinize sunulmuştur.


KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN 23.06.2020 ve 24.06.2020 TARİHİNDE YAYIMLANAN KARAR ÖZETLERİ VE VERİ İHLALİ BİLDİRİMLERİNE İLİŞKİN DEĞERLENDİRME

Kurul tarafından 23.06.2020 ve 24.06.2020 tarihlerinde yayımlanan Kurul’un yayınlamış olduğu veri ihlal bildirimlerine ve Kurul kararlarına ilişkin değerlendirmelerimiz yazımızın devamında dikkatinize sunulmuştur.

 

VERİ İHLALİ BİLDİRİMLERİ

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

23/06/2020

2020/485

Bir polikliniğin eski çalışanı olan diş hekiminin işten çıkartılması sonrasında poliklinik hastaları ile ilgili verileri yetkisiz olarak elde etmesi ve reklam amaçlı SMS göndermesi

Konuya ilişkin inceleme devam etmektedir.

 

İhlale konu olayda; Sezgi Dental Ağız ve Diş Sağlığı Polikliniği (Sezgi Dental) eski çalışanlarından bir diş hekiminin işten ayrılması sonrasında; Sezgi Dental hastalarına tanıtıcı reklam amaçlı mesaj gönderildiğini ve eski çalışanın bu verileri yetkisiz olarak elde ettiğini, kendisine işten çıkartılması ile ilgili bildirim yapılması sonrası bu fiil gerçekleştiğinin tahmin edildiği, veri ihlalinden etkilenen kişilerin kişisel verilerinin kimlik ve iletişim kategorilerine ait olduğunu ve hastalara gönderilen SMS sayısını tam olarak tespit edememek ile birlikte tahmini olarak sistemlerinde kayıt olan 2500 kişinin olduğuna yönelik Kişisel Verileri Korunma Kurumu’na veri ihlali bildiriminde bulunulmuştur.

Kurul bu kararıyla birlikte günlük hayatta birçok kez karşımıza çıkan “portföy taşıma” durumu hakkında veri sorumlularını ve veri sorumlusu adına veri işleyenleri bir kez daha uyarmış oldu. Portföy taşımayı kısaca; bir kurum çatısı altında elde edilen verilerin, kişilerin başka bir kurum çatısı altında kullanması olarak tanımlayabiliriz.  Kurul’un 08.07.2019 tarih 2019/204 numaralı kararında da yukarıda bahsi geçen konuya benzer bir portföy taşıma durumu için bir karar özeti yayınlamıştı.

Şikayete konu başvuru, veri işleme şartları açısından değerlendirildiğinde Şirketin Şikayetçinin telefon numarasını işlemesinin 6698 sayılı Kanunun 5 inci maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına,

Şirketin beyanlarında yer alan; Şikayetçinin Şirketin bir pazarlama personelinin başka bir şirkette çalışırken müşterisi olması nedeniyle, bu personelin yeni işyeri olan Şirkete bu verileri aktardığına ilişkin iddialarına ilişkin olarak; Şikayetçinin Türk Ceza Kanunu’nun 136 ncı maddesi hakkında bilgilendirilmesine,

Şikayetçinin Şirketi muhatap başvurusunda yer alan kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talebine Şirketçe cevap verilmemiş olması nedeniyle Şirketin Kanuna uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasına ve söz konusu hususlarda Şirketin Kurumu muhatap yazısında belirtildiği şekliyle Şikayetçiye bilgi vermesi yönünde talimatlandırılmasına,

Bu karar ile bir kez daha belirtmek gerekir ki, 6698 sayılı Kanun’da da belirtiği üzere veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Veri sorumlusu adına veri işleme faaliyeti gerçekleştiren kişiler, bu verileri sadece veri sorumlusunun ilgili kişiye bildirmiş olduğu amaçlar doğrultusunda ile işleyebilir.

Değerlendirmemize başka bir bakış açısı katacak olur isek; 2019/204 sayılı Kurul kararında tüzel kişilikler arasında ticari anlamda bir portföy taşıma ile 2020/485 sayılı Kurul kararında kişinin serbest meslek erbabı olarak (işten ayrılan diş hekiminin kendine ait bir işletme açtığı ve bu işletme veya kendi adı altında tanıtıcı reklam amaçlı sms gönderdiği düşünüldüğünde) bir diş hekiminin de bireysel anlamda bir portföy oluşturmasının arasında fark olmadığının ve kişisel verilerin hukuka aykırı bir şekilde elde edildiğini belirtmek gerekir.

Kanaatimizce, yapılan ihlal bildiriminin incelenmesi neticesinde; Kurul tarafından veri güvenliğine ilişkin veri sorumlusu olan Sezgi Dental’i 6698 sayılı Kanun’un 12. maddesinin 1. fıkrası kapsamında değerlendirmeleri gerektiğini söyleyebiliriz. Bunun yanı sıra işten ayrılan diş hekiminin de kişisel verileri hukuka aykırı bir şekilde elde ettiğinin tespiti neticesinde yargı organları tarafından TCK’nın 136. maddesi gereği “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu değerlendirmesini yapması gerektiği düşüncesindeyiz.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

2

23/06/2020

2020/486

Avivasa’ya gelen bir ihbar neticesinde, müşterilerine ait bir kısım kişisel verilerin bir internet sitesinde para karşılığı satıldığı ve engelleme kararı

Konuya ilişkin inceleme devam etmektedir.

 

İhlale konu olayda; Avivasa’ya gelen bir ihbarda, Avivasa’nın müşterilerine ait kişisel verilerin bir internet sitesinde para karşılığında satıldığı iddiasının yer aldığı, ihbarda kişisel veri kategorileri ile ilgili bir bilginin yer almadığı, ihlalden etkilenen kişi ve kayıt sayısının bilinmediği, konunun aynı zamanda adli makamlara iletildiği, Sulh Ceza Hakimliği’nin internet sitesine erişim engelleme kararının bulunduğu ve kararda “…müşterilerin yaşadıkları şehir, yaş ve cep telefonu numarası gibi kişisel nitelikteki bir kısım verilerin liste halinde siteye konulduğu…” tespitlerine yer verilmiştir.

Yapılan bir araştırmaya göre 2016 yılı itibariyle 1 kişinin Facebook’taki kişisel verilerinin değeri 50 Euro, 2017 yılında ise 40 Euro civarında olduğu belirtilmiştir. Yine Amerika’da 4 farklı üniversitede yapılan araştırmalar sonucunda bir kişinin Facebook hesabını 1 yıl süre ile kullanmamasını istenmesi halinde bunun bedelinin bu kişiler için $1000 olduğu tespit edilmiştir.

Dijitalleşen dünyada kişisel verilerin maddi bir değeri vardır ve gün geçtikçe bu değer, kullanılan sosyal medya platformları değişse de verinin toplam değerini artmaktadır. Birçok firma elde etmiş olduğu bu veriler üzerine ekonomik stratejilerini kurmaktadır.

Kurul’a yapılan veri ihlali bildiriminde de görüleceği üzere, kişi veya kişilerin elde etmiş olduğu Avivasa’nın müşterilerinin kişisel verilerini belirli bir para karşılığında sattığı iddia edilmektedir. İşte bu sebepledir ki; temel hak ve hürriyetlerimizin bir parçası olan kişisel verilerimizin korunmaya ihtiyacı vardır.

Kanaatimizce, yapılan ihlal bildiriminin incelenmesi neticesinde; Kurul tarafından veri güvenliğine ilişkin veri sorumlusu olan Avivasa’nın 6698 sayılı Kanun’un 12. maddesinin 1. fıkrası kapsamında değerlendirilmesi gerektiğini söyleyebiliriz. Buna ek olarak kişisel verileri hukuka aykırı bir şekilde elde eden kişi veya kişilerin TCK’nın 136. maddesi gereği “Verileri hukuka aykırı olarak verme veya ele geçirme” fiilinin değerlendirilmesi gerektiği düşüncesindeyiz.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

3

23/06/2020

2020/487

Global bir kozmetik şirketi olan Avon’un, Türkiye’deki tüzel kişiliğinin de kullanmış olduğu sistemlere karşı bir fidye yazılım içeren saldırı yapılması

Konuya ilişkin inceleme devam etmektedir.

 

Avon Türkiye’nin yapmış olduğu ihlal bildiriminde; bağlı olduğu İngiltere’de yerleşik bulunan Avon Cosmetics Limited’e (Avon Global) 7 Haziran 2020 tarihinde fidye yazılımı saldırısının gerçekleştirildiği, gerçekleşen bu saldırıda bazı sistemlerin kesintiye uğramasına ve Türkiye’de dahil Avon'un uluslararası operasyonlarında belirli verilerin şifrelenmesine neden olduğu, etkilenen sistemlerdeki belirli verilerin tehdit aktörü tarafından kopyalanmış olması ve bu verilerin kişisel veriler içermesi ihtimalinin bulunduğu, Avon Türkiye’nin bağlı bulunduğu İngiltere’de yerleşik Avon Global ile aynı yazılımları kullandığı, etkilenen kişisel veri kategorisi belirleme çalışmalarının devam ettiği, etkilenen kişi sayısı ve kişilere ait kayıt sayısını belirleme çalışmalarının devam ettiği, Avon Türkiye’nin ağırlıklı olarak çalışanların ve Avon ürünlerini doğrudan satış yolu ile tüketicilere tali satıcılığını yapmakta olan Avon temsilcilerinin verilerine sahip olduğu bilgileri verilmiştir.

Teknolojinin gelişmesiyle birlikte hayatımızın birçok alanında önemli değişikler olmaktadır ve bu değişim hızlanarak devam etmektedir. Teknolojinin getirmiş olduğu en önemli buluşlardan birisi de internetin bulunmasıdır. İnternetin keşfi ve yaygınlaşmasıyla birlikte veri paylaşım hızı her geçen gün artmaktadır.

Küçük bir aile şirketinden çok uluslu bir şirketin yönetilmesine kadar neredeyse her şirket elde etmiş olduğu verileri internet bağlantısının olduğu teknolojik ortamlara kaydetmekte ve bu ortamlarda muhafaza etmektedir. Elde edilen veriyi kullanmanın yanında bu verilerin iyi bir şekilde muhafaza edilmesi de gerekmektedir. Bu doğrultuda da teknolojik olarak belirli yatırımlar yapılmalı ve güvenlik düzeyi yüksek sistemler kullanılmalıdır.

Avon, faaliyette bulunduğu kozmetik sektöründe tanınırlığı yüksek olan global bir markadır. Yapılan siber saldırı sonrası Şirket, belirli operasyon süreçlerini bu sistemlerin çalışması ve iyileştirilmesi amacıyla Türkiye’deki operasyonları da dahil olmak üzere durdurmuştur. Bu sistemlerin durması demek çalışmanın da askıya alınması demektir ve dünyadaki birçok merkezinde yaklaşık 20 gündür çalışma durmuştur.

2018 yılında yapılan bir araştırmaya göre veri ihlali gerçekleştiren şirketlerin repütasyon kayıplarına ek olarak veri ihlali sonrasındaki 1 yıl içerisinde ekonomik daralmalarının ortalama %29 seviyelerinde geldiği tespit edilmiştir. Avon’un faaliyetlerini bu süre içerisinde askıya almasıyla birlikte yaşayacağı ekonomik kayıp yanında repütasyon kaybı ve ileride oluşabilecek diğer muhtemel ekonomik kayıplara göre de belirli aksiyonlar alması gerekmektedir.

Veri sorumlusu, 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddenin 1. Fıkrasının (b) ve (c) bentleri gereği “kişisel verilere hukuka aykırı olarak erişilmesini önlemek” ve “kişisel verilerin muhafazasını sağlamak” ile yükümlüdür. Yapılan ihlal bildirimi neticesinde; Kurul yapacağı incelemede veri güvenliğine ilişkin veri sorumlusu olan sıfatıyla Avon Türkiye’nin yukarıda belirttiğimiz 12. madde hükümleri kapsamında değerlendirme yapılması gerektiğini söyleyebiliriz. Buna ek olarak kişisel verileri hukuka aykırı bir şekilde elde eden kişi veya kişilerin TCK’nın 136. maddesi gereği “Verileri hukuka aykırı olarak verme veya ele geçirme” fiili kapsamında değerlendirmesi gerektiği düşüncesindeyiz.

 

KURUL KARAR ÖZETLERİ

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

03/03/2020

2020/191, 2020/192, 2020/193, 2020/194

Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğinin ihbar edilmesine ilişkin ihbar hakkında

Toplamda 1.400.000 TL idari para cezasına karar verilmiştir.

 

Karara konu Kuruma intikal eden ihbarda özetle; sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamaların kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir.

Resmi Gazete’nin 25 Şubat 2011 tarih, 27857(mükerrer) sayılı nüshasında yayımlanan 6111 sayılı Kanun ile 5411 Sayılı Bankacılık Kanunu’na Ek Madde 1 ve Geçici Madde 28 ilave edilmiştir. Ek Madde 1 ile Resmi Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu’nca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişileri ile de paylaşılmasını sağlamak üzere “Risk Merkezi” kurulmuştur.

İşbu Risk Merkezi’ne üye kuruluşların tabii olduğu, 5411 sayılı Kanun’un “Sırların saklanması” başlıklı 73. maddesi yükümlülükleri ve istisnaları düzenlenmiştir. Maddenin dördüncü fıkrasında yer alan hüküm ile sır saklama yükümlülüğünün istisna olduğu durumlar, “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” söz konusu olmaktadır. Amacı dışında işlenen her türlü verinin istisnanın kapsamı dışında yer aldığını söyleyebiliriz. Nitekim gelen ihbar neticesindeki bu kişilerin birçok gerçek ve tüzel kişilerin verisine belirlenen amaçların dışında erişmiş ve bunu yetkisiz üçüncü kişiler ile paylaşmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun en önemli hükümlerinden birisi “Genel İlkeler” başlığı altında düzenlenmiş olan 4. maddedir diyebiliriz. Kurum rehberlerinde ve birçok kararında değinmiş olduğu bu ilkelere işbu karar gibi konu ihlaller üzerinden açıklamalar getirerek kamuoyuyla paylaşmaya devam etmektedir.

Kişisel veri işleyen veri sorumlusunun, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesi, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayları ortaya koyması gerekir. Veri sorumlusu meşru bir amaç kapsamında ve faaliyetlerinin yürütülmesinde gerekli olan amaçlar için kişisel veri işlediğine, kişisel veri işleme faaliyetinin yürütmüş olduğu iş süreçleri ile bağlantılı olduğuna dikkat etmelidir. Yine bir diğer önemli ilke “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesidir. Elde edilen kişisel verinin, yapılacak iş veya hizmetin ifasını gerçekleştirmek amacı içerisinde yeterli verinin alınması, bunun dışındaki amaçlar için gerekli olmayan veri işlemeden kaçınılması gerekmektedir.

Kurul tarafından yapılan incelemede, Risk Merkezi üzerinden yapılan sorgu adetlerinde dikkat çekici değişiklik gözlenen Faktoring Şirketleri hakkında; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlama yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak; Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/191, 2020/192, 2020/193, 2020/194 kararları ile söz konusu 4 şirket hakkında;

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 950.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca ihlale ilişkin Kuruma ve ilgili kişilere bildirim yapılmadığı gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 450.000 TL

idari para cezası uygulanmasına karar verilmiştir.

Kanaatimizce, Kurul tarafından verilen karar 6698 sayılı Kanun’un atıf yapmış olduğu hükümler ile ilgili olarak yapmış olduğu değerlendirme ve karar yerindedir. Nitekim, karar içerisinde de belirtilmiş olduğu üzere  Risk Merkezi’ne üye kuruluşların tabi olduğu mevzuatlar içerisinde kişisel verilerin işlenmesi ve paylaşılması ile ilgili düzenlenmeler yer almakta olup, ihbar neticesinde gelen sorgu adetlerinde olağanüstü değişimlere ilişkin yapılan incelemede belirlenen amaçlar dışında bir kişisel veri işlendiği, istisnai hükümler kapsamında olmadığı tespit edilerek idari para cezası verilmiştir. Yine dikkat çeken bir diğer konu da veri ihlal bildirimindeki sürenin önemidir. Kişisel veri ihlalinin yapıldığını öğrenildiği andan itibaren en kısa sürede ve en geç 72 saat içerisinde Kurum’a söz konusu ihlalin bildirilmesi gerekmektedir.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

2

16/04/2020

2020/286

Bir oyun şirketinin veri ihlal bildirimi hakkında karar

1.100.000 TL idari para cezası karar verilmiştir.

Veri sorumlusu (Zynga) tarafından Kurum’a intikal eden bildiriminde; hackerlar tarafından şirketin bulut sistemlerine yasal olmayan yollarla hukuka aykırı erişim gerçekleştirildiği, oyuncu verilerine erişim sağlandığınındıklarının log kayıtlarından tespit edildiği, Türkiye’de ihlalden etkilenen kişi sayısının 39,995 olduğu, etkilenen kişisel verilerin, isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı da dâhil, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu, Türkiye’de yerleşik kişilere e-posta yoluyla bildirimde bulunulduğu, ifadelerine yer verilmiştir.

Çevrimiçi oyun şirketi olan Zynga, geçtiğimiz 2019 yılının Eylül ayında bir siber saldırıya maruz kaldığını bildirdi. Önce medyadan alınan bilgilerde 200 milyondan fazla kullanıcının etkilendiği iddia edilse de 2019 Aralık ayına geldiğimizde bir veri ihlali izleme web sitesi tarafından bu saldırı neticesinde yaklaşık 173 milyon kullanıcının etkilendiği detaylarına yer verildi. Zynga kendi web sitesi veri ihlali bildiriminde bulundu ve kullanıcılarına aldığı tedbirlerinden bahsetti ve kullanıcıların alabileceği önlemler hakkında tavsiyelerde bulundu. https://zyngasupport.helpshift.com/a/zynga/?s=announcements&f=player-security-announcement&l=en&p=all)

Kurul veri ihlali bildirimi ardından yapmış olduğu inceleme neticesinde; bir bulut sistemi bulunan veri tabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin (sızma/penetrasyon testi) yetersiz olmasının ve gerekli önlemlerin alınmadığının göstergesi olduğu, veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu hususları dikkate alındığında;

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL

olmak üzere toplam 1.100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kanaatimizce de Kurul tarafından verilen karar doğru ve yerindedir; nitekim veri sorumlusu Zynga “Kişisel verilere hukuka aykırı olarak erişilmesini önlemek” ve “Kişisel verilerin muhafazasını sağlamak” ile yükümlü olduğu veri güvenliğine ilişkin tedbirleri yerine getirmediği değerlendirmesini yapabiliriz. Kurum’un kararında dikkat çeken değerlendirmelerinden birisi de veri sorumlusunun veri ihlali sonrası aldığı teknik ve idari tedbirlerin daha önce alınmadığının göstergesi olarak değerlendirme yapmasıdır. Veri sorumlusunun veri ihlali sonrasında almış olduğunu beyan etmiş olduğu teknik tedbirlerin, öncesinde teknik tedbirlerin alınmamış olduğu veya öncesinde alınan tedbirlerin yeterli veya yetersiz olup olmadığına dair bir inceleme yapmaksızın niyet okuyarak vermiş olduğu kararın bu kısmını doğru bulmuyoruz. Bu doğrultuda, ilgili mevzuatlar uyarınca belirlenen teknik ve idari tedbirlere uygun olacak şekilde tedbirler alınıp alınmadığının incelemesinin yapılmasının daha doğru olacağını düşünmekteyiz.

 

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

3

05/05/2020

2020/344

Bir bankanın veri ihlali hakkında Karar

1.000.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

Veri sorumlusu Türk Ekonomi Bankası (“Banka”) tarafından Kuruma veri ihlal bildiriminde; bankanın Uyum ve İç Kontrol Grubu tarafından düzenli gerçekleştirilen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği, yapılan incelemeler neticesinde 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı, Banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği, 3 personelin söz konusu sorgulamalara konu olan kişilerin TCKN’lerini şahsi telefonları üzerinden üçüncü kişi/kişilerden temin ettikleri, personelin söz konusu verileri bankanın sistemlerini kullanarak aktardığına ilişkin bir bulgu olmadığı ancak şahsi telefonları üzerinden elektronik haberleşme programları kullanarak Banka dışına aktarmış olabileceği ifadelerine yer verilmiştir.

Bunun üzerine yapılan inceleme neticesinde; ihlalden 25.288 kişinin etkilendiği, etkilenen kişilerden 17.582’sinin Banka müşterisi olduğu, 7.706 kişinin Banka müşterisi olmadığı dikkate alındığında özellikle Banka müşterisi olmayan kişilere ait KKB sorgulamaları için Banka tarafından zamanında gerekli teknik ve idari tedbirlerin almadığının değerlendirildiği, Kişisel Veri Güvenliği Rehberinde teknik tedbirler arasında yer alan “Kişisel Veri Güvenliğinin Takibi” başlığı altında belirtilen hususların aksine, Bankanın şubelerinden birinde ihlale sebep olan personelin ihlal fiillerinin 10.07.2017 tarihinde başlamasına rağmen; bu ihlal fiilinin 08.07.2019 tarihinde tespit edildiği; benzer şekilde Bankanın başka bir şubesindeki ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay gibi oldukça uzun bir süre bulunduğu, bu durumun kişisel veri güvenliği takibi noktasında veri sorumlusu tarafından “güvenlik yazılımı mesajlarının”, “erişim kontrolü kayıtlarının” ve “diğer raporlama araçlarının” düzenli olarak kontrol edilmediğinin göstergesi olduğu, Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen, veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği, ancak bunun veri sorumlusu tarafından sağlanmadığının görüldüğü, Veri sorumlusu tarafından ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu, Veri sorumlusu tarafından ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu dikkate alınarak;

 

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL idari para cezası uygulanmasına

 

karar verilmiştir.

Veri sorumlularına yapılması gerekli adımları hatırlatan bir karardır. Bu kararı 2 başlıkta değerlendirmek gerekmektedir. İlki veri sorumlularının denetimi ve yönetimidir. Kararda belirtildiği üzere, Bankanın tespit etmiş olduğu veri yönetimi konusunda gerekli teknik tedbirlerden olan güvenlik yazılımı mesajlarını, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli aralıklar ile kontrol etmediğini bildirmiştir. Yani Bankanın gerekli güvenlik tedbirlerini almadığını, net bir şekilde belirtmiştir. Bu Banka tarafından veri yönetiminin yapılamadığının göstergesi diyebiliriz. Nitekim Bankanın teknik anlamda bu tedbirleri aldığı düşünülse dahi düzenli aralıklar ile kontrol etmediğini söylemiş oluyor. Bu sebeple de denetimin önemini daha iyi anlıyoruz.

İkinci olarak eğitim ve farkındalıktır. Kararda belirtiği üzere, “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığında ifade edilen çalışanların konumuna bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi farkındalık çalışmalarının yapılması gerektiğidir. Kurum eğitim konusuna önem veriyor. Birçok çalışmasını da farkındalık üzerine kuruyor. Şirketlere kurum içi eğitimin öneminden bahsetmiş oluyor. Bunun yanında idari tedbirler arasında belirtilmiş olduğunu söylediği konumuna bakılmaksızın her bir çalışanın görev ve sorumlulukların belirlenmesi gerektiğini ve yine her çalışanın görev tanımında bunun yer alması gerektiğidir. Ancak Bankanın bu tedbirleri almadığını görmüştür. Yetki ve rollerine yönelik kontrollerin ve düzenlemelerin veri ihlali sonrasında yapılması sebebiyle zamanında yapılmadığını belirtmiştir. Nitekim bu idari tedbirler veri ihlali gerçekleşmeden önce alınsa dahi böyle bir ihlal olması durumunda denetimin sağlanmadığı ön plana çıkabilecektir. Bankanın limitlendirme gibi belirli bir işlemi sorgulayıcı nitelikte olan sistemlerin varlığına rağmen, veri ihlaline çokça sebebiyle verebilecek olan KKB sorguları için bu tür bir teknik tedbirin veri ihlali sonrasında almasının yeterli teknik tedbirlerin almadığını belirtilmiştir. Kurum burada tekrardan teknik tedbirin öneminden bahsetmiştir.

Karardan çıkarılacak bir diğer önemli konu olan rehberlerine yapmış olduğu göndermelerdir. Veri sorumlusunun uymak ile yükümlü olduğu 6698 sayılı Kanun ve sair mevzuatlardır. Bunun yanında Kurum’un çıkardığı yönetmelik, ilke kararlar, kurul kararları, karar özetleri, rehberler ve son olarak kamuoyu duyurularıdır. Kurum geçtiğimiz günlerde web sitesi üzerinden “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu” yayınladı. Bu duyuruyla birlikte hazırlamış ve kullanmakta olduğumuz “Aydınlatma Metinleri”ni tekrardan gözden geçirmemiz gerekiyor. Aynı şekilde, Şirketlerin uyum süreci içerisinde almış oldukları tedbirlerin yeterli olup olmadığının net olarak tespitinin yapılması gerekiyor. Kurum bu tür çalışmalarına devam ettiği sürece tüm veri sorumlularının da bu sürece uyumlu bir şekilde almış olduğu tedbirlerin denetimini ve yürütümünü sağlaması gerekmektedir.

 

             

VERBİS İHLAL BİLDİRİMLERİ

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

23/06/2020

2020/485

Bir polikliniğin eski çalışanı olan diş hekiminin işten çıkartılması sonrasında poliklinik hastaları ile ilgili verileri yetkisiz olarak elde etmesi ve reklam amaçlı SMS göndermesi

Konuya ilişkin inceleme devam etmektedir.

2

23/06/2020

2020/486

Avivasa’ya gelen bir ihbar neticesinde, Avivasa’nın müşterilerine ait bir kısım kişisel verilerin bir internet sitesinde para karşılığı satıldığı ve erişim engelleme kararı

Konuya ilişkin inceleme devam etmektedir.

3

23/06/2020

2020/487

Global bir kozmetik şirketi olan Avon’un, Türkiye’deki tüzel kişiliğinin de kullanmış olduğu sistemlere karşı bir fidye yazılım içeren saldırı yapılması

Konuya ilişkin inceleme devam etmektedir.

 

 

KURUL KARAR ÖZETLERİ

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

03/03/2020

2020/191, 2020/192, 2020/193, 2020/194

Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğinin ihbar edilmesine ilişkin ihbar hakkında

Toplamda 1.400.000 TL idari para cezasına karar verilmiştir.

2

16/04/2020

2020/286

Bir oyun şirketinin veri ihlal bildirimi hakkında karar

1.100.000 TL idari para cezası karar verilmiştir.

3

05/05/2020

2020/344

Bir bankanın veri ihlali hakkında Karar

1.000.000 TL idari para cezası uygulanmasına karar verilmiştir.