05.07.2021 Tarihli KVKK Karar Özetleri

tarafından | Tem 7, 2021 | KVKK karar özetleri | 0 yorum

İşbu KVKK karar özetleri Eralp Danışmanlık tarafından, Kişisel Verileri Koruma Kurumu tarafından 05.07.2021 Tarihinde yayımlanan kararlar hakkında bilgi vermek amacıyla hazırlanmıştır. Yayımlanan kararlar, Kişisel Verileri Koruma Kurumuna yapılan veri ihlallerine ilişkin kararlardır. 

İhlalin Gerçekleşme Şekli – Kararda bilişim şirketinde geliştirilen yazılımlar için “debugging” özelliğinin açık olduğu ve bu özelliğin kullanılan yazılımı internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı belirtilmiştir. 

İhlalden Etkilenen Veriler – Kararda ilgili kişilere ilişkin sistemde yer alan kayıtların 1259 sözleşme, 701 alan adı başvuru dosyası (içerisinde imza sirküleri, vergi levhası ve kişi kimlik fotokopisi kayıtları) olduğu, ve sistemde ayrıca elli bin kredi kartı bilgisi yer aldığı, ancak bu kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğunun tespit edildiği belirtilmiştir. 

Yaptırım – Kurulun değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezasının uygulanmasına karar verilmiştir. 

Sonuç  – Kurul ilgili kararda, 

  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilememesinin, veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığını, 
  • Kuruma gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğunu,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması vb) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğunu ifade ederek, 

İlgili kararda söz konusu veri sorumlusunun teknik tedbirleri almakta yetersiz olduğunu belirtmiştir. Bu anlamda Kurul’un veri güvenliğine ilişkin alınması gereken önlemleri yakından takip ettiğinden bahsedilebilir. 

İhlalin Gerçekleşme Şekli – Kararda, İhlalin; çalışanların kendi rıza ve talepleri ile yazılı ve imzalı olarak veri sorumlusuna ilettikleri kişisel e-posta adreslerinin sisteme işlenmesinden sonra bordro programı üzerinden bu hesaplara gönderilen bordrolarda, gönderilen kişilerin kendisine ait olmayan ancak aynı şirket çalışanı olan başka çalışanlara ait bordroyu ve dolayısıyla başkasına ait ad, soyad, TC Kimlik No ve sicil numarası görüntülemesi şeklinde gerçekleştiği belirtilmiştir. 

İhlalden Etkilenen Veriler – Kararda ihlalden etkilenen kişi ve kayıt sayısının 489 olduğu ve bu kişilerin farklı bordrolara ait verileri görebildiği belirtilmiştir. 

Yaptırım – Kurul’un değerlendirmeleri ile Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 60.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul, ilgili kararda, 

  • Çalışanlara kurumsal hesap açılmadığı ve bordrolarının çalışanların farklı sunucularda bulunan kişisel e-posta hesaplarına gönderildiğini, 
  • Çalışanlara yanlışlıkla giden bordroların silinip silinmediğinin kişisel e-posta hesaplarından (birçok e-posta sunucusu içerdiği için)  kontrol imkânı bulunmadığından ihlalin, aslında veri sorumlusunun belirttiği gibi sadece teknik aksaklık değil; söz konusu çalışanlara kurumsal e-posta hesabı açmayarak ve bu hesaplar üstünden bordro gönderimi yapmayarak ihlalin idari eksiklikten de kaynaklanmasına sebep olunduğu,
  • İhlale konu olan riskin, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 3.2 maddesine aykırı olarak veri sorumlusu tarafından değerlendirilmediğini belirtmiş;

İlgili kararda söz konusu veri sorumlusunun idari ve teknik önlemlerin alınmasında yetersiz olduğunu belirtmekle kalmamış ancak idari eksiklerin de söz konusu olduğunu belirtmiştir. 

İhlalin Gerçekleşme Şekli – Kararda sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği belirtilmiştir. 

İhlalden Etkilenen Veriler – Kararda ihlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu ve ihlalden etkilenen kişi sayısının 172 olduğu belirtilmiştir.

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 60.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurur, ilgili kararda;

  • Bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği,
  • Sızma testlerinin yapılmadığı,
  • Acente Bilgi Güvenliği İlkeleri dokümanında; Acentelerin bilgi güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve gerektiği takdirde ve periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen veri işleyenin herhangi bir şekilde denetlenmediğini ifade ederek,

Veri sorumlusu tarafın alınan ve idari tedbirlerden biri olan kurum içi politika ve prosedürlerinin dikkatle takibinin yapılması gerektiği, Kurumun yayımladığı ve veri sorumlusu bünyesinde oluşturulan teknik tedbirlerin uygulanması gerektiğine dikkat çekmiştir. 

İhlalin Gerçekleşme Şekli – Kararda, veri sorumlusu bünyesinde çalışanın kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği belirtilmiştir.

İhlalden Etkilenen Veriler – İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu kararda belirtilmiştir. 

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul, ilgili kararda;

  • İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu, 
  • Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirilebildiği dikkate alındığında, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde belirtilen tedbirlere aykırı şekilde yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı,
  • Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346 müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve bu durumun, Kişisel Verileri Koruma Kurulunun 31/05/2018 tarih ve 2018/63 sayılı ilke kararında “…Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması” ve Kanunun m.12/1 numaralı fıkrasına aykırı olarak veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu belirterek,

Veri sorumluları bünyesinde yerine getirilen idari tedbirlerin önemle uygulanmasını, veri sorumlularının teknik tedbirleri almakta yeterli bile olsa idari tedbirlerden biri olan KVKK farkındalık eğitimlerinin çalışanlara yüksek önem ve özenle verilmesi gerektiğini ve verilerin aktarılmasında kurul kararlarına uyulmasına dikkat çekmiştir. 

İhlalin Gerçekleşme Şekli – Kararda ihlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği belirtilmiştir. 

İhlalden Etkilenen Veriler – İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu ve ihlalden etkilenen kişi sayısının 544 olduğu belirtilmiştir.

Yaptırım – Kurul tarafından yapılan değerlendirilme sonucunda, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına karar verilmiştir.

Sonuç – Kurul, ilgili kararında;

  • Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu veri ihlalilinin, DLP Raporuna yansımamasının “Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiğini,
  • İhlale konu e-posta gönderimlerinin; uzun bir süre tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada;  
  • DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği, 
  • İhlal ile ilgili olan eski çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiğini belirterek;

Veri sorumlusu bünyesinde alınan idari ve teknik tedbirlerin yalnızca yayımlanmaktan ibaret olmayıp aynı zamanda titizliklikle uygulanması gerektiğini ve idari tedbirlerden biri olan KVKK farkındalık eğitimlerinin çalışanlara yüksek önem ve özenle verilmesi gerektiğine dikkat çekmiştir. 

İhlalin Gerçekleşme Şekli – Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle; Sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile “Rapor” ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı, sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair “Rapor” dosyası gönderilmesi şeklinde ihlalin gerçekleştirilmesi belirtilmiştir. 

İhlalden Etkilenen Veriler – İhlalden etkilenen 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, kişisel veriler ise TCKN / Mavi Kart No,  Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu kararda belirtilmiştir. 

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul, ilgili kararında; 

  • Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği, ihlale konu olaydan önce tespitinin yapılamadığı,
  • İhlale konu olayın gerçekleşme tarihi (18.01.2018) ile tespit tarihi (19.02.2020) arasında yaklaşık 2 yıllık bir gecikmenin bulunduğu hususunun, veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğunu belirterek, 

Veri sorumlusunun kullanacağı yazılımlarda kullanım öncesi testlerin yapılarak hataların düzeltilmesi gerektiğine, kurum tarafından belirlenen teknik tedbirleri yürürlüğe alma ve uygulamaya dair yükümlülüklerini yerine getirmediğine dikkat çekmiştir.  

İhlalin Gerçekleşme Şekli – İlgili kararda, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini, Banka erişim ve bilgi güvenliği politikalarına, verilen sınıf içi ve çevrimiçi eğitimlere, Banka ile olan iş sözleşmelerine ve ilgili menüye erişmeden önce çıkan uyarı mesajına aykırı şekilde, söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşması suretiyle veri ihlali gerçekleştiği belirtilmiştir. 

İhlalden Etkilenen Veriler – İlgili kararda, bir müşterinin kimlik bilgilerinin amacı dışında gözlemlenmesi ve yetkisiz kişiyle paylaşması söz konusudur.

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul ilgili kararında, 

  • Bulunduğu görev pozisyonundan yararlanarak olaya konu Takım Lideri’nin şikayette bulunan ilgili kişinin bilgilerine erişebildiği ve yetkisini kötüye kullanabildiği, bu durumun veri sorumlusu tarafından verilen veri gizliliği ve güvenliği eğitimlerine rağmen söz konusu çalışanın rol ve sorumlulukları hakkındaki farkındalığının sağlanamadığı,
  • Bankada Takım Lideri olarak çalışan personelin veri ihlali öncesinde müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yaparak görüntüleyebildikleri ve bu durumun çalışan personel tarafından müşterilerin kişisel verilerinin ihlaline sebebiyet verebilecek bir durum olduğu,

Bu durumun Kurumun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” hususuna aykırılık teşkil ettiği,

  • Veri ihlali sonrasında uyarı sisteminin geliştirildiği, veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı belirtilmiş;

Veri sorumlusunun yetkilendirme ve görevlendirme süreçlerinde kurul tarafından yayımlanmış karar ve rehberlere uyulmasına, idari ve teknik tedbirlerin alınmasında bütüncül yaklaşılıp bir kurum kültürü oluşturulması gerektiğine dikkat çekmiştir.

İhlalin Gerçekleşme Şekli – 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı, sunucuların yedeklenmesi esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olması sebebiyle veri ihlali doğmuştur.

İhlalden Etkilenen Veriler – Kararda, görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, ihlal sürecinde alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü belirtilmiştir. 

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul ilgili kararda;

  • Veri sorumlusu tarafından hazırlanan fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, 
  • Veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği,
  • Veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı belirtmiş;

Veri sorumlusu tarafından risk odaklı yaklaşım çerçevesinde hareket edilmesinin önemine ve veri sorumlusu yükümlülüklerine uygun hareket etmesi gerektiğine dikkat çekmiştir.

İhlalin Gerçekleşme Şekli – Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği belirtilmiştir. 

İhlalden Etkilenen Veriler – İhlalden; 789 hastanın etkilendiği, kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği belirtilmiştir. 

Yaptırım – Kurul tarafından yapılan değerlendirme sonucunda, 

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,
  • hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL,

olmak üzere toplam 600.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Sonuç – Kurul ilgili kararda; 

  • Hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği,
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı ve yeterli eğitimin verilmediğinin göstergesi olduğu,
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu,
  • Kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
  • Hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiğini belirterek;

Veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı belirtilerek idari ve teknik tedbirlerin uygulanmasının önemini belirtmiştir.

 

Daha önce yayınlanmış karar özetlerine ulaşmak için; 21.06.2021 Tarihli KVKK Karar Özetleri