Kişisel Verileri Koruma Kurulu’nun 02.08.2021 Tarihinde Yayınladığı Karar Özetlerine İlişkin Bülten
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 02.08.2021 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan bazı karar özetleri yayınlanmış olup, kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.
Kararlarda çoğunlukla teknik tedbirlere ilişkin bilgilere yer verilmiştir. Bu sebeple, aşağıdaki ilgili teknik kısımların şirketinizde Kanun’un teknik uyumunu sağlayan birimlerin/IT departmanınızın incelemesini önermekteyiz.
Ayrıca, veri ihlalinden etkilenen kişi sayısının az olduğu durumlarda, veri ihlal bildirimlerinin de zamanında yapılması kaydıyla veri sorumlusu aleyhine yaptırım uygulanmaması yaklaşımı dikkat çekmektedir.
Karar özetleri:
1. Bir perakende giyim firmasının veri ihlal bildirimi hakkında 18/06/2019 tarih ve 2019/170 sayılı Karar Özeti
Kurul tarafından:
- 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde yapılmış olmasının, gerçekleştirilen işlemlere dair şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu, URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun’un 18. maddesinin 1 numaralı fıkrasının b bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
- İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurul’a bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
2. Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti
Kurul tarafından veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere
erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği dikkate alınarak Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun’un 18. maddesinin 1 numaralı fıkrasının b bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
3. Bir bankanın veri ihlal bildirimi hakkında 03/03/2020 tarih ve 2020/201 sayılı Karar Özeti
Kurul tarafından:
- Sehven gönderildiği bildirilen bildirimlerin, veri sorumlusu mail ve SMS gönderimleri için kullandığı bir iç sistem uygulaması ile yapıldığı, ihlale konu olayda teknik anlamda, “kullanılması gereken fonksiyon ve metodun doğru kullanılmasına rağmen parametrelerde yeterli kontrol konulmadığının anlaşıldığı, ilgili geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu”, bu teknik tedbir eksikliğinin de ihlale yol açtığı, bahsi geçen “Notification” uygulama sisteminin hata sonucu veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için yerleştirilen kontrol mekanizmasının yeterli düzeyde olmadığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiği dikkate alındığında, Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun’un 18. maddesinin 1 numaralı fıkrasının b bendi uyarınca 75.000 TL idari para cezasının uygulanmasına,
- İhlalin 05.07.2019 ile 08.07.2019 arasında gerçekleştiği, 08.07.2019 tarihinde tespit edildiği ve ihlal bildiriminin Kurul’a 11.07.2019 tarihinde intikal ettiği, bu kapsamda bildirimin 72 saat içinde gönderildiği, ayrıca veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğu dikkate alındığında, veri sorumlusu hakkında Kanun’un 12. maddesinin 5 numaralı fıkrası uyarınca yapılacak bir işlem olmadığına
karar verilmiştir.
4. Bir sigorta şirketinin veri ihlal bildirimi hakkında 07/05/2020 tarih ve 2020/357 sayılı Karar Özeti
Kurul tarafından:
- İhlal kapsamında etkilenen kişisel verilerin veri sızıntısı önleme uygulamasında yakalanmak üzere kurgulanmadığı ve bu sebeple ihlale konu olan e-posta iletiminin anahtar kelimeleri içermediğinden herhangi bir uyarının oluşmadığı, ihlal konusu olan kişisel verilerin veri sızıntısı önleme uygulamasında tanımlanabilir kişisel veriler olduğu dikkate alındığında bu durumun kişisel veri güvenliğine ilişkin doğru ve tutarlı
bir prosedürün, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmediğinin göstergesi olduğuna,
- Teftiş Kuruluna; veri sorumlusunun ana sigortacılık ekranlarını kullanarak müşterilerin poliçe bilgilerini portföy takibi için kullanıldığı yönündeki tereddütlerin iletilmesi üzerine yapılan inceleme ile veri ihlalinin, gerçekleşmesinden yaklaşık iki ay sonra ancak tespit edilebildiği ve söz konusu tereddütlerin Teftiş Kuruluna bildirilmemesi durumunda veya tereddütlerin oluşmaması durumunda veri ihlalinin tespit edilemeyeceğinin anlaşıldığı dikkate alındığında alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetiminin kurgulanmadığı ve bu nedenle veri sorumlusunun, Kurul’un yayınlamış olduğu “Kişisel Veri Güvenliği Rehberi”nde de belirtildiği üzere bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının takip edilmesi noktasında alınan teknik tedbirler açısından yetersiz kaldığına,
- Veri ihlali öncesinde veri ihlali ile ilgili çalışanların tamamının kişisel veri koruma eğitimi almadığı ve ihlali gerçekleştiren çalışan için de bu eğitiminin atanmış olduğu ancak almadığı dikkate alındığında bu durumun veri sorumlusu Şirketin kişisel veri güvenliğinin sağlanması bakımından yeterli idari tedbirleri almadığının göstergesi olduğu değerlendirmelerinden hareketle Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanun’un 18.maddesinin 1 numaralı fıkrasının b bendi uyarınca 90.000 TL idari para cezası uygulanmasına
karar verilmiştir.
5. Bir bankanın veri ihlal bildirimi hakkında 09/07/2020 tarih ve 2020/530 sayılı Karar Özeti
Kurul tarafından:
- İhlale sebebiyet veren kişinin bölge ortalamasından oldukça yüksek miktarda sorgulama yapması hususunun incelenmemesi ve durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmadığına,
- Veri sorumlusunca gerçekleştirilen “Kişisel Verilerin Korunması Kanunu Eğitimi”nin yeterli olmadığı kanaatine varıldığından Kanun’un 12. maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanun’un 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 200.000 TL idari para cezasının uygulanmasına
karar verilmiştir.
6. Bir oyuncak perakendecisi veri sorumlusunun veri ihlal bildirimi hakkında 22/07/2020 tarih ve 2020/567 sayılı Karar Özeti
Kurul tarafından:
- Kişisel hesaplara erişim hususunda veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerekmekte olup veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini (SMS/Captcha) veri ihlali sonrasında yayına almayı planladığı dikkate alındığında veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığına,
- İhlalden etkilenen ilgili kişilerin hesaplarının şifreleri incelendiğinde müşteriler tarafından kullanılan şifrelerin sadece rakamlardan ya da sadece harf dizilerinden oluşabildiği, müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı; veri sorumlusu nezdinde gerçekleşen ihlal sırasında web uygulama güvenlik duvarının (WAF) yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği dikkate alındığında veri sorumlusunun uygulama güvenliğini sağlayamadığı hususları dikkate alındığında Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanun’un 18.maddesinin 1 numaralı fıkrasının b bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
- Kurul’un 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunmadığı; ancak yaşanan 1 günlük bir gecikmenin pandemi süreci nedeniyle makul olduğuna ve bu çerçevede veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
- İlgili kişilere yapılan bildirimin 18/09/2019 tarih ve 2019/271 sayılı Kurul Kararının gerekliliklerini tam anlamıyla karşılamadığı dikkate alındığında, veri sorumlusunun Kurul’un 18/09/2019 tarih ve 2019/271 sayılı Kararına uygun bir şekilde ilgili kişilere ihlale ilişkin bildirim yapması hususunda talimatlandırılmasına
karar verilmiştir.
7. Bir e-ticaret şirketinin veri ihlal bildirimi hakkında 17/09/2020 tarih ve 2020/715 sayılı Karar Özeti
Kurul tarafından:
- Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik, iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğuna,
- Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, bahsi geçen sınırlandırma tedbirini önceden almış olması halinde internet ortamında sıkça rastlanan saldırı neticesinde ihlalin gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği, bunun da veri sorumlusunun veri ihlali öncesinde veri güvenliğini sağlamaya yönelik alması gereken teknik tedbirleri yeterli ve gerekli düzeyde almadığının göstergesi olduğuna,
- İhlalden 832 kişiye ait e-posta adresi ve şifre bilgilerinin etkilenmiş olduğunun beyan edildiğine,
- Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığına,
- “Web uygulaması güvenlik duvarı” [WAF (Web Application Firewall)] üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra alındığına,
- İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da bahsi geçen internet sitesinin kullanım düzeyi ve içerisinde yer alan kişisel veriler düşünüldüğünde veri sorumlusunun ilgili tedbirleri almamasının ihlal sonucunda potansiyel tehdit açısından ciddi bir risk taşıdığı değerlendirmelerinden hareketle, Kanun’un 12. maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanun’un 18. maddesinin 1 numaralı fıkrasının b bendi uyarınca 165.000 TL idari para cezası uygulanmasına,
- İhlalin 17.12.2019 tarihinde gerçekleştiği, 17.12.2019 tarihinde tespit edildiği ve 20.12.2019 tarihinde Kurul’a bildirildiği dikkate alındığında Kanun’un 12. maddesinin 5 numaralı fıkrası kapsamında Kurul’un 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunduğu, öte yandan veri sorumlusu tarafından ilgili kişilere bildirim yapıldığı dikkate alındığında, veri sorumlusu hakkında Kanun’un 12. maddesinin 5 numaralı fıkrası kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
8. Bir teknoloji şirketinin veri ihlal bildirimi hakkında 22/10/2020 tarih ve 2020/816 sayılı Karar Özeti
Kurul tarafından:
- İhlalden 1 kişiye ait kişisel verilerin etkilendiği,
- İlgili kişiye telefon yoluyla bildirim yapıldığı,
- İhlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının düşük olduğu,
- İhlale konu e-postanın silinmesinin sağlandığı,
- Veri sorumlusunun ihlale kısa zamanda müdahale ettiği
hususları dikkate alındığında, bu aşamada veri sorumlusu hakkında Kanun’un 12. maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
9. Bir sigorta şirketinin veri ihlal bildirimi hakkında 08/12/2020 tarih ve 2020/935 sayılı Karar Özeti
Kurul tarafından:
- İhlalden 1 kişinin etkilendiğine,
- İhlalden etkilenen kişisel verilerin kimlik, iletişim ve sağlık bilgileri olduğuna,
- Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kurul’a veri ihlalini bildirme yükümlülüğünü yerine getirdiğine,
- İlgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtildiği hususları dikkate alındığında veri sorumlusu hakkında Kanun’un 12. maddesi kapsamında bu aşamada yapılacak bir işlem bulunmadığına, öte yandan veri sorumlusu tarafından ilgili kişiye bildirim yapılması ve söz konusu bildirimin yapıldığı ile bahse konu verilerin sehven gönderilen müşteri nezdinde silindiğine dair tevsik edici belgelerin Kurul’a iletilmesi hususunda talimatlandırılmasına
karar verilmiştir.
10. Bir ilaç şirketinin veri ihlal bildirimi hakkında 15/12/2020 tarih ve 2020/957 sayılı Karar Özeti
Kurul tarafından:
- İhlalin, gerçekleşmesinden 13 dakika sonra tespit edildiği, gerçekleşmesinden 2 saat sonra ise sonlandırıldığına,
- İhlalin, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluştuğuna,
- İhlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğuna,
- İhlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığına,
- İhlale sebep olan konuda ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı dikkate alındığında Kanun’un 12. maddesinin 1 numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına,
- İhlalin tespit tarihinden sonra 72 saat içinde Kurul’a bildirilmemiş olduğu dikkate alındığında, Kanun’un 12. maddesinin 5 numaralı fıkrası uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurul’a, Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması, ayrıca ilgili kişilere bildirim yapıldığına ve e-postanın gönderildiği kişilere e-postanın silinmesi yönünde uyarının yapıldığına ilişkin tevsik edici belgelerin Kurul’a gönderilmesi hususlarında veri sorumlusunun talimatlandırılmasına
karar verilmiştir.