EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2020/957

2020/957

15/12/2020

Konu: Bir ilaç şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, ihlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata sonucunda 337 çalışanın bordrosunun yanlış çalışanlara gönderilmesi ile meydana gelmiştir. Kurul tarafından yapılan incelemeler sonucunda, ihlalin gerçekleşmesinden 13 dakika sonra tespit edilmesi ve 2 saat sonrasında sonlandırılması, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluşması, veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu, ihlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;

  • İhlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata meydana gelmesi ile oluştuğu,
  • Sistem tarafından otomatik olarak oluşturulan ve güncel maaş bordrolarını içeren e-postalarda meydana gelen hata nedeniyle, 337 çalışanın bordrosunun yanlış çalışanlara gönderildiği,
  • İhlalin yanlış bordro giden bir çalışanın e-posta yoluyla İnsan Kaynakları Departmanına bilgi vermesi sonucu anlaşıldığı,
  • İhlalin 27.11.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
  • Teknik eşleştirme hatası nedeniyle çalışanın aylık bordrosuna, başka bir çalışan tarafından erişilebilmesinin mümkün olduğu,
  • Bordroların, çalışanın o ayki maaş bilgisi ve ad- soyad, banka hesap numarası ve T.C. kimlik numarası gibi kişisel veriler içerdiği,
  • İhlalden etkilenen kişi sayısının 337; kayıt sayısının 1348 olduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 15/12/2020 tarih ve 2020/957 sayılı Kararı ile;

  • İhlalin, gerçekleşmesinden 13 dakika sonra tespit edildiği, gerçekleşmesinden 2 saat sonra ise sonlandırıldığı,
  • İhlalin, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluştuğu,
  • İhlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu,
  • İhlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı,
  • İhlale sebep olan konuda ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı

dikkate alındığında Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına,

  • İhlalin tespit tarihinden sonra 72 saat içinde Kurula bildirilmemiş olduğu dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurula, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması, ayrıca ilgili kişilere bildirim yapıldığına ve e-postanın gönderildiği kişilere e-postanın silinmesi yönünde uyarının yapıldığına ilişkin tevsik edici belgelerin Kuruma gönderilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?