EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2020/113

2020/113

11/02/2020

Konu: Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan ihlal bildiriminde, veri sorumlusunun internet sitesinden ve mobil uygulamasına ilişkin olarak veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlenmesinin bu sırada gerçekleşmiş olabileceği, azami 257.000 kişinin etkilenme ihtimalinin bulunduğu, ihlalden etkilenen kişisel verilerin kimlik, kriptolanmış kullanıcı hesabı şifreleri olduğu beliritlmiştir. Kurul tarafından veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir ksıt bulunmaksızın erişldiği, sızma testlerinin ihlal öncesi yapılmadığı, mobil uygulama içerisinde SSL Sertifika olmaması, politika ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulması, kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmemesi sebebiyle veri sorumlusu hakkında veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezası uygulanmıştır.

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin e-ticaret sektöründe faaliyet göstermekte olduğu,
  • Veri sorumlusunun internet sitesinden ve mobil uygulaması üzerinden ticari faaliyet amacı olmayan satıcılara ikinci el ürünlerini satmaları için bir aracı hizmet sağlayıcısı olarak teknik alt yapı sunduğu,
  • Şirkete, internet sitesinin hacklendiği iddiasının iletildiği,
  • Veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlemesinin de bu sırada gerçekleşmiş olabileceği,
  • Azami 257.000 kişinin etkilenme ihtimalinin bulunduğu ancak veri sorumlusu tarafından 25 kişi dışında kimsenin veri ihlalinden etkilenmiş olduğuna dair kayıt tespit edilmediği,
  • İhlalden etkilenen ilgili kişi kategorilerinin kullanıcılar olduğu,
  • İhlalden etkilendiği belirtilen kişisel verilerin ad, soyadı, e-posta adresi, kriptolanmış kullanıcı hesabı şifreleri olduğu, 973.147 üyeye kadar olan kullanıcılardan 172.490 adedinin sisteme Facebook profili üzerinden kayıt olduğu için e-posta adreslerinin sistemde bulunmadığı, ancak veri ihlalinin gerçekleştirildiği e-posta adresi ile Şirket arasında yapılan konuşmalarda; tüm veri tabanları, kaynak kodlar, dosya ve müşteri verilerinin ele geçirildiğinin iddia edildiği,
  • İhlalden özel nitelikli kişisel verilerin etkilenmediği,
  • Kayıtlı kullanıcılara bildirimde bulunulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı sayılı Kararı ile;

Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?