09.08.2021 Tarihli KVKK Karar Özetleri

tarafından | Ağu 10, 2021 | Kişisel Verileri Koruma Kurulu | 0 yorum

09.08.2021 Tarihli KVKK Karar Özetleri

Yayınlanan karar özetine göre Veri Sorumlusu bankanın eski çalışanının, gereğinden fazla KKB sorgulaması yapması sonucunda Temmuz 2018 ile Mayıs 2019 tarihleri arasında 5695 kişinin etkilendiği kişisel veri ihlali yaşanmıştır. 

Kişisel Verilerin Korunması Kurulu;

  • İhlalin neredeyse bir seneye yakın sürmesi sebebiyle  veri sorumlusu tarafından kişisel verilerin korunmasına ilişkin kişisel veri güvenliği takibinin uygun zaman aralıklarıyla yapılmadığını,
  • Çalışanlarının log kayıtlarında kullanıcı bazında yetki sınırlaması, ekranlara erişimlerin kıstlanması, kişisel verilerin korunmasına ilişkin uyarılara yer verilmesi gibi teknik ve idari tedbirleri ihlal öncesinde almadığını,
  • Ancak ihlalin gerçekleşmesinden sonra KKB sorgulamasına kota getirildiği ihlal öncesinde olası risklerin ve tehditlerin tespit edilmediğini,
  • Çalışanlara Kişisel Verilerin Korunması Kanunu konusunda belli aralıklarla eğitim ve farkındalık çalışmalarının yapıldığının belgeler ile kanıtlanamadığı için Kanun’a uygun olarak çalışanlara eğitim verilmediğini, 

tespit etmiştir. Bu sebeplerle veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı için veri sorumlusu Banka’ya 400.000 TL idari para cezası verilmiştir.

Ayrıca ihlal tespit edildikten sonra geçerli bir sebep olmaksızın Kuru’la en kısa sürede bildirilmediği için bildirimde bulunma yükümlülüğüne aykırı davranmaktan veri sorumlusu hakkında 50.000 TL de olmak üzere toplam 450.000 TL idari para cezası uygulanmasına karar vermiştir.

Veri Sorumlusu Kurum’a yaptığı ihlal bildiriminde; rutin güvenlik denetimi sırasında eski bir çalışan tarafından içerisinde kaynak kod ile veri dosyaları içeren bir klasörün yetkisiz olarak github.com internet sitesine yüklendiği ve konu hakkında inceleme başlatıldığı, verilerin hem gerçek kişi hemde bot hesaplarına ait olduğu, ihlalden etkilenen 62 kişi olduğu ve bunlardan az da olsa bir kısmının çocuk olduğu, bu işilerin doğum tarihi, e-posta adresi, internet hizmet sağlayıcı ve kullanıcı kayıt tarihi ve saati gibi bilgilerin etkilendiğini bilgisi paylaşılmıştır. 

Kişisel Verilerin Korunması Kurulu yaptığı incelemede;

  • Veri sorumlusunun eski çalışanın kaynak kodları da github.com internet sitesine yüklemiş olmasının bir güvenlik açığı olduğu, bu kaynak kodların yetkisiz üçüncü kişiler tarafından analiz edilerek başka güvenlik açıklıklarına sebebiyet verebileceği dikkate alındığında veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin yeterince alınmamış olduğu,
  • Çalışanlara yönelik farkındalık çalışmaları yapılmadığı ve güvenlik risklerinin belirlenmediği, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun davranmadığının göstergesi olduğu,
  • İhalin gerçekleşme tarihinden neredeyse iki yıl sonra ihlalin tespit edilmesi sebebiyle veri sorumlusunun alması gereken teknik ve idari tedbirlerin yetersiz kaldığını,
  • Söz konusu çalışanın, kişisel verileri içeren bilgileri kendi taşınabilir aygıtına kopyalamasının politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu,

sonucuna varmış ve 100.000 TL idari para cezasına hükmetmiştir. 

Bunun yanı sıra; veri ihlalinin 09.01.2019 tarihinde tespit edilmesine rağmen Kuruma 28.02.2019 tarihinde bildirim yapıldığı gözetilerek, veri sorumlusunun “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle 30.000 TL  olmak üzere toplam 130.000 TL idari para cezası uygulanmasına karar vermiştir.

Veri sorumlusu giyim firması tarafından yapılan veri ihlal bildiriminde yer alan açıklamalara göre olağan denetimler sırasında ihlal tespit edilmiştir. İhlal, müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleşmiştir. İhlalden aboneler/üyeler, müşteriler/potansiyel müşteriler etkilenmiş olup 44 kişinin e-posta adresi, doğum tarihi, şifrelerinin ve zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği Kurul’a bildirilmiştir.

Kişisel Verilerin Korunması Kurulu yaptığı incelemede;

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin 02.07.2019 tarihinde  yapıldığı, Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığı ve Şirket tarafından gerekli kontrollerin yapılmadığını,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığını,

tespit etmiştir. KVKK, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar vermiştir

Veri ihlal bildirimi veri sorumlusu şirket tarafından zamanında yapıldığından kanunen yapılacak bir şey olmadığı kararda yer almıştır.

Veri sorumlusu şirket veri ihlal bildiriminde bulunmuştur. Bu bildirimde 06.03.2020 tarihinde anonim bir ihbarla web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiği bilgisi verilmiştir. 

Kişisel Verilerin Korunması Kurulu yaptığı incelemede;

  • İhlalin 04.03.2020 tarihinde gerçekleştiği, anılan kişi veya kişilerin ellerindeki elektronik posta şifre bilgilerini 14.000’den fazla IP’den bağlantı e-posta/şifre denemesi yapmalarıyla gerçekleştiği, 2092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığı, veri sorumlusu müşterilerine ait ad-soyad, e-posta, cep telefonu, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilendiği,
  • Veri sorumlusunun sistemin hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kaldığı, çeşitli belirtilere rağmen bu durumun uzun süre fark edilmediği ve müdahale için geç kalındıği ifade edilerek; hesabına giriş yapılan 2092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğu  tespit edilmiştir.

Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 210.000 TL idari para cezası uygulanmasına karar verilmiştir.

Veri ihlali veri sorumlusu şirketin sistemlerine karşı gerçekleştirilen bir siber saldırı sonucunda, yetkili kullanıcı şifresi ele geçirilerek sistemlere erişimin engellenmesi şeklinde gerçekleşmiştir.

Saldırı; veri sorumlusunun siber güvenlik desteği almakta olduğu firmaya ait IP adresi üzerinden ve aynı zamanda veri sorumlusunun eski çalışanı da olan firma çalışanı tarafından gerçekleştirildiği tespit edilmiştir. 

Veri sorumlusunun faaliyetlerini sürdürmesi için gerekli verilerinin ve yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği, ihlalden etkilenen yaklaşık 1000 kişi olduğu ve ihlalden özel nitelikli kişisel verilerinde etkilenmiş olabileceği kuruma bildirilmiştir.

Kişisel Verileri Koruma Kurulu kararında;

  • Saldırının şirket çalışanlarının sistemlere erişememesi sonucu tespit edildiği; özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, bu tip saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerektiği ve bu durumun Kişisel Veri Güvenliği Rehberi 3.2. maddesi “Kişisel Veri Güvenliğinin Takibi” başlığına aykırılık teşkil ettiği
  • Sunucularının yedek dosyalarının depolandığı Data Domain sunucusunda yer alan verilerinin de silinmesinin, Kişisel Veri Güvenliği Rehberi 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında düzenlenen “yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır.” ifadesine aykırılık teşkil ettiği,

tespit edilmiştir. Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 125.000 TL idari para cezası uygulanmasına karar verilmiştir. 

  • İhlalden etkilenen şirket çalışanlarına e-posta ile bilgilendirme yapılarak, şirket çalışanı dışındaki kişilere ise web sayfasından genel duyuru yapıldığı ve yapılan bu duyurunun ise Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı gerekliliğine uygun olduğu, veri ihlali 24 saat içinde tespit edilmiş ve Kurum’a iki gün üçünde bildirilmiş olduğundan veri sorumlusunun Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne uygun hareket ettiği dikkate alınarak veri sorumlusu hakkında bu konuda ise yapılacak bir işlem bulunmadığına karar verilmiştir. 

En kısa sürede bildirim yapılması ile kastedilen kriter 24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde bildirim yapılmasıdır. 

06.03.2019 tarihinde, 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin etkilendiği veri ihlali gerçekleşmiştir. 

Kişisel Verileri Koruma Kurulu kararında;

  • Veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık 5 ay sonra tespit ettiği ve bu durumun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde yayınlanan güvenlik kontrol ve denetimlerinin zamanında yapılmadığını gösterdiği, 
  • Parola püskürtme saldırıları şeklinde gerçekleşen ihlalin; Kurumz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları ilkesine aykırı olarak veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı,
  • 6 TB’tan fazla verinin çalınması veri sorumlusu tarafından mevcut risk ve tehditlerin belirlenmesi ilkesine uyulmamasından kaynaklanmış olduğu, bu gibi saldırılara karşı veri kaybı riskini azaltmaya yönelik gerekli idari tedbirleri almadığı,

tespit edilmiştir. Yukarıda açıklanan sebepler göz önüne alınarak Kurul tarafından Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezasına hükmedilmiştir.

Bunun yanı sıra;

  • 06.03.2019 tarihinde tespit edilen veri ihlali, veri sorumlusu tarafından 29.04.2019 tarihinde Kuruma bildirilerek  55 günlük geç bildirimde bulunulması,
  • Veri sorumlusunun ihlalden etkilenen ilgili kişilere ihlal tespit edildikten 55 gün sonra bildirim yapmış olması,

sebebiyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL olmak üzere toplam 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Veri sorumlusu Kişisel Verileri Koruma Kurumuna veri ihlal bildiriminde bulunmuştur. Bildirimde; bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu Otomatik Katılım Sistemi (OKS) kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren dosyaların yanlış alıcılara gönderilmesiyle ihlale sebebiyet verdiğini, 367 gerçek kişiye ait kimlik (TCKN, ad soyad, doğum tarihi, SGK numarası), iletişim (telefon numarası, e-posta adresi), özlük (işe başlama tarihi) ve finans (IBAN numarası, katkı payı tutarı) verilerinin etkilendiği, ihlale uğrayanlara gerekli bildirimlerin yapıldığını ifade etmiştir. 

Kişisel Verileri Koruma Kurulu kararında;

  • Veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklanması sebebiyle, Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı ilkesine aykırı olarak veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınması gerekliliğine uygun olmadığı ifade edilmiş ihlaline sebep olan yazılımdaki sistemsel hatanın veri güvenliğinin sağlanması amacıyla sürekli olarak takibinin gerektiği belirtilmiştir. 
  • İhlale konu olayın gerçekleşme tarihi (01.01.2020) ile tespit tarihi (06.01.2020) arasında 5 günlük bir gecikmenin bulunduğu durumun veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmamasına karşın sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması ve veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği, 

ifade edilmiştir. Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 30.000 TL idari para cezasının uygulanmasına karar verilmiştir. 

Veri sorumlusu Kişisel Verileri Koruma Kurumuna veri ihlal bildiriminde bulunmuştur. Söz konusu bildirimde; toplu e-posta gönderimini yapan çalışan tarafından e-postanın konu kısmına hataen 43 müşteriye ait e-posta adresinin eklendiği, bu nedenle, e-postanın konu kısmında e-posta adresi yer alan 43 alıcı bilgisinin, e-posta gönderimi yapılan 400 kişilik alıcı grubu ile paylaşıldığı, ilgili kişilerin ihlalden ihlalin gerçekleşmesini takiben en kısa süre içerisinde (48 saat içerisinde) ilgili kişiler ile doğrudan e-posta adresleri üzerinden iletişime geçilerek 29.09.2020 tarihinde bildirim yapıldığı ifade edilmiştir. 

Kişisel Verileri Koruma Kurulu;

  • İhlalden az sayıda kişi etkilendiği, sadece müşterilere ait e-posta adresleri ve adreslerde kullanılan ad soyad bilgisi ihlalden etkilendiği,
  • İlgili kişilere kısa sürede bildirim yapıldığı ve bu bilgilerin KVKK da aynı süre içinde iletilmiş olduğu,
  • İhlalin olumsuz sonuç doğurma riskinin düşük olduğu, 
  • Hatalı e-posta gönderimi yapılan 400 müşteriden ihlale konu e-postanın imha edilmesinin talep edilmiş olması,
  • Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kuruma veri ihlalini bildirme yükümlülüğünü yerine getirmiş olması

gözetilerek Kanunun 12 nci maddesi kapsamında yapılacak bir işlem olmadığına Kurul tarafından karar verilmiştir.

Veri sorumlusu Kişisel Verileri Koruma Kurumuna veri ihlal bildiriminde bulunmuştur. Söz konusu bildirimde; yetkili üst düzey kullanıcıları tarafından erişim sağlanabilen bir ortak klasörde, kullanıcılardan biri tarafından  irtibat listesi ararken kullanıcı listesinde sehven şifre bilgilerinin de bulunduğunu fark ettiği ve durumu raporladığı,  listede, sehven, kurum içi bir platformun kullanıcılarının şifrelerinin açık bir şekilde, kullanıcı adı, isim, profesyonel e-posta adresi gibi tanımlayıcılarla birlikte yer aldığı, ihlalden etkilenen kişi ve kayıt sayısının 2 olduğu ifade edilmiştir. 

Kişisel Verileri Koruma Kurulu;

  • İhlalden Türkiye’den sadece iki (2) kullanıcının etkilenmiş olduğu,
  • İhlale ilişkin dosyanın yalnızca sekiz (8) kullanıcı tarafından erişilmiş olabileceği ve söz konusu sekiz (8) kullanıcı ile görüşüldüğü tamamının gizlilik yükümlüklerini anladığını ve kabul ettiğini ve herhangi bir şifre bilgisini kullanmayacaklarını veya paylaşmayacaklarını teyit ettiği,
  • İhlale konu olan verilerin niteliği gereği olumsuz etki doğurma olasılığının düşük olduğu,  
  • İhlalden sonra ilgili platformdaki şifrelerin teknik ve idari tedbilere uygun olarak maskelenmesinin sağlandığı, 
  • İhlal gerçekleştikten sonra tespit edilen dosyanın veri sorumlusu tarafından ivedilikle ortadan kaldırıldığı, 
  • İhlalden etkilenen platform kullanıcılarının şifrelerinin yenilendiği ve ilgili kullanıcılara şifrelerini değiştirmeleri için bir uyarı e-postası gönderildiği, bu tedbirin de ihlal sonrasında kişisel verilerin olumsuz etki doğurma olasılığı düşük olsa da veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında yer alan “risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır” tedbirini aldığının bir göstergesi olduğuna,

tespit edilerek, Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında bu aşamada yapılacak bir işlem bulunmadığına Kurul tarafından karar verilmiştir.