“Bir Perakende Giyim Firmasının Veri İhlal Bildirimi Hakkında” Kişisel Verileri Koruma Kurulunun 20/01/2020 Tarih Ve 2020/50 Sayılı Kararı’nda Neler Yer Almaktadır?

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;

  • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
  • Kuruma veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik olarak silinmiş olduğuna dair teyit aldığı,
  • İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiğinin öğrenildiği (Türkiye’deki ilgili kişilerin bu yedi adet URL’den iki tanesinde gerçekleşen hatadan etkilendiği),
  • İhlalden etkilenen ilgili kişi sayısının 44 olduğu,
  • İhlalden etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler olduğu,
  • Şirketin Kurumu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği,
  • İlgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/01/2020 tarih ve 2020/50 sayılı Kararı ile;

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,

  • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı

dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

– İhlal olayının Veri Sorumlusu tarafından uzun süre sonra tespit edilebilmesi güvenlik kontrollerinin düzenli olarak yapılmadığının, dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kalması.

– Veri Sorumlusu tarafından ihlal olayının Kişisel Verileri Koruma Kurulu’na geç bildirilmesi

– Veri Sorumlusu tarafından kişisel veri güvenliğine ilişkin politikaların etkin şekilde uygulanamaması.

Ne Gibi Önlemler Alınmalıydı?

– Veri Sorumlusu tarafından idari ve teknik tedbirlerin etkin bir şekilde uygulanması ve kurum kültürü haline getirilmesi gerekirdi.

– Veri Sorumlusu tarafından gerçekleştirilen veri güvenliği tedbirlerinin daha sık periyodlarla uygulanması gerekirdi.

– Veri Sorumlusu tarafından kurumdaki farkındalık artırılarak ihlal olayının daha erken tespit edilmesi gerekirdi.

error: Bu içerik korumalıdır.