EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2021/190

2021/190

04/03/2021

Konu: Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Bir müşterinin şikayeti üzerine banka tarafından yapılan inceleme neticesinde bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini iş sözleşmesine aykırı şekilde söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlenmesi, müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafınan üçüncü kişiyle paylaşılması suretiyle gerçekleştiği, olaya ilişkin olarak banka sistemleriyle ilgili bir güvenlik açığından değil çalışanın münferit davranışından kaynaklı olduğu, söz konusu ihlalin 1 (bir) müşterinin kimlik bilgilerinin yetkisiz kişiyle paylaşılmasından kaynaklandığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde; çalışan tarafından gerçekleştirilen eylem Kurul tarafından çalışana veri gizliliği ve güvenliği eğitimi sağlanmış olmasına rağmen Kişisel Veri Güvenliği Rehberinin Çalışanların Eğitilmesi ve Farkındalık Çalışmalarında belirtilen yükümlülükler açısından çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanmasına ilişkin yükümlülüğüne aykırılık teşkil ettiği, bankada takım lideri olarak çalışan personelin müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yapabilmesi Rehber’deki “İzin Verilmedikçe Her Şey Yasaktır” prensibine aykırılık teşkil ettiği, çağrı merkezi takım lideri olarak görev yapan çalışanların müşterilerin bilgilerine sınırsız sayıda sorgulama yaparak erişebilmesi Rehberin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği ve KVKK’nın 12’inci maddesinin 1 numaralı fıkrasına aykırı olduğu belirtilmiştir.

Ceza: 100.000-TL idari para cezası verilmesine karar verilmiştir.

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bir müşteri şikayeti üzerine Banka tarafından yapılan inceleme neticesinde, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini, Banka erişim ve bilgi güvenliği politikalarına, verilen sınıf içi ve çevrimiçi eğitimlere, Banka ile olan iş sözleşmelerine ve ilgili menüye erişmeden önce çıkan uyarı mesajına aykırı şekilde, söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşması suretiyle veri ihlali gerçekleştiği,
  • Söz konusu olayda Banka sistemleriyle ilgili herhangi bir güvenlik açığının bulunmadığı, ihlalin çalışanın münferit davranışlarından kaynaklı olduğu sonucuna varıldığı,
  • Veri ihlalinin, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini amacı dışında kullanmasından ve 1 (bir) müşterinin kimlik bilgilerini yetkisiz kişiyle paylaşmasından kaynaklandığı,
  • İhlal ile ilgili olan çalışanların Bilgi Güvenliği Farkındalığı Eğitimi ve Kişisel Verilerin İşlenmesi ve Korunmasında Temel Kavramlar Eğitimi aldığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Kararı ile;

  • Bulunduğu görev pozisyonundan yararlanarak olaya konu Takım Lideri’nin şikayette bulunan ilgili kişinin bilgilerine erişebildiği ve yetkisini kötüye kullanabildiği, bu durumun veri sorumlusu tarafından verilen veri gizliliği ve güvenliği eğitimlerine rağmen söz konusu çalışanın rol ve sorumlulukları hakkındaki farkındalığının sağlanamadığı göz önünde bulundurulduğunda Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemelerine aykırılık teşkil ettiği,
  • Bankada Takım Lideri olarak çalışan personelin veri ihlali öncesinde müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yaparak görüntüleyebildikleri ve bu durumun çalışan personel tarafından müşterilerin kişisel verilerinin ihlaline sebebiyet verebilecek bir durum olduğu ve bu durumun Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” hususuna aykırılık teşkil ettiği,
  • Risk Merkezi verilerinin sorgulanmasına yönelik sorgulama yapılabilecek kayıt sayısı/kota belirleme işlemlerinin veri ihlalinden önce yapılmadığı, söz konusu ihlalden ancak yaklaşık iki yıl sonra çalışanlar için sorgulama kota limiti oluşturulduğu ve diğer müşteri sorgulamalarına kota oluşturulmasına yönelik çalışmalara halen devam edildiği,
  • Veri sorumlusu bünyesinde Çağrı Merkezi Takım Lideri olarak görev yapan çalışanların, müşterilerin rızası dışında, müşteri bilgilerine sınırsız sayıda sorgulama yaparak erişebildiği, söz konusu çalışanlar için gerekli ölçüde yetki verilmediği dikkate alındığında Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Siber Güvenliğin Sağlanması başlığı altındaki “… kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve … ilgili sistemlere erişim sağlanmalıdır.” tedbirlerine aykırılık teşkil ettiği,
  • Veri ihlali sonrasında, başka şube müşterisinin bilgilerini sorgulamak isteyen çalışanlara erişecekleri verileri iş ihtiyacı kapsamında ve görev tanımıyla uyumlu bir şekilde kullanabileceklerine dair uyarı sisteminin geliştirildiği, veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?