24/11/2020
Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.
Veri sorumlusu bir sigorta şirketinin Kuruma intikal eden yazılarında özetle;
ifadelerine yer verilmiştir.
Söz konusu kişisel veri ihlali bildiriminin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905 sayılı Kararı ile;
hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,
Kurula ve ilgili kişilere yapılan bildirim ile ilgili olarak;
dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kaynak:
Kararı Paylaşın
İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!
YORUMLAR
KVKK Arar, bir OD Privacy projesidir.
©2021 kvkkarar.com. Tüm hakları saklıdır.