EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri İhlal Bildirimi" etiketli kararlar

2023/4

05/01/2023

Konu: Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/277

24/03/2022

Konu: İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin şubesine teslim ettiği, bu şirketin de ürünü kargo firmasına teslim ettiği ancak kargo firmasının ürünü ilgisiz üçüncü bir şahsa teslim ettiği, üçüncü şahsın ilgili kişiyi arayarak konuyla ilgili bilgi verdiği bildirilmiştir. Elektronik perakende şirketinin yetkilileriyse; konu kapsamında bir suçları olmadığı ve hatanın tamamen kargo firmasında olduğu belirtilmiştir. Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurulduğunda Kurum, İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021 / 427

27/04/2021

Konu: Bir e-ticaret sitesi nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.

Ceza: Veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1’nci fıkrası uyarınca 600.000,00-TL idari para cezası ve 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılması sebebiyle 200.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/426

27/04/2021

Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/407

20/04/2021

Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/311

25/03/2021

Konu: Bir kozmetik şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme neticesinde; , fonksiyonun canlı ortama alınmadan önce teste tabi tutulmasına rağmen yoğunluğa uygun şekilde yazılımların kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişikliklerin ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı ve bu kapsamda Kişisel Veri Güvenliği Rehberinin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yükümlülüklerine aykırılık teşkil ettiği, veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Rehberin Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini yerine getirmediği ve bu kapsamda veri sorumlusunun Rehberin Mevcut Risk ve Tehditlerin Belirlenmesine ilişkin yükümlülüklerinden risk odaklı yaklaşım çerçevesinde aykırılık teşkil ettiği belirtilmiştir.

Ceza: Veri sorumlusu hakkında 200.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/190

04/03/2021

Konu: Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Bir müşterinin şikayeti üzerine banka tarafından yapılan inceleme neticesinde bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini iş sözleşmesine aykırı şekilde söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlenmesi, müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafınan üçüncü kişiyle paylaşılması suretiyle gerçekleştiği, olaya ilişkin olarak banka sistemleriyle ilgili bir güvenlik açığından değil çalışanın münferit davranışından kaynaklı olduğu, söz konusu ihlalin 1 (bir) müşterinin kimlik bilgilerinin yetkisiz kişiyle paylaşılmasından kaynaklandığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde; çalışan tarafından gerçekleştirilen eylem Kurul tarafından çalışana veri gizliliği ve güvenliği eğitimi sağlanmış olmasına rağmen Kişisel Veri Güvenliği Rehberinin Çalışanların Eğitilmesi ve Farkındalık Çalışmalarında belirtilen yükümlülükler açısından çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanmasına ilişkin yükümlülüğüne aykırılık teşkil ettiği, bankada takım lideri olarak çalışan personelin müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yapabilmesi Rehber’deki “İzin Verilmedikçe Her Şey Yasaktır” prensibine aykırılık teşkil ettiği, çağrı merkezi takım lideri olarak görev yapan çalışanların müşterilerin bilgilerine sınırsız sayıda sorgulama yaparak erişebilmesi Rehberin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği ve KVKK’nın 12’inci maddesinin 1 numaralı fıkrasına aykırı olduğu belirtilmiştir.

Ceza: 100.000-TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/187

04/03/2021

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dahil olan çalışanlarına dair(sigortalılara) “Rapor” iletildiği, 28 müşteri şirkete diğer 31 müşteri şirketin çalışanlarına dair “Rapor” dosyası gönderildiği, ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği, ihlale konu yazılımın canlıya alınmadan önce test edildiği ve ihlalden etkilenen kişisel verilerin TCKN, mavi kart no, ad-soyad ve planlanan ara verme bitiş tarihi sözleşme durumu bilgileri olduğu ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde; veri ihlaline sebep olan sistemsel hatanın uygulama yazılımdan kaynaklanması sebebiyle Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) yer alan Bilgi Teknolojileri sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınmasının gerektiği, ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında yaklaşık 2 yıllık gecikmenin bulunması sebebiyle Rehberde belirtilen Kişisel Veri Güvenliğinin Takibine ilişkin yükümlüklere ilişkin olarak gerekli kontrol ve denetimlerin zamanında gerçekleştirilmemesi, ve ihlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edilmesi sebebiyle Rehberin Kişisel Veri Güvenliğinin Takibine ilişkin bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine ilişkin yükümlülüğü aykırılık teşkil ettiği belirtilmiştir.

Ceza: 125.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/154

25/02/2021

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde; veri sorumlusu tarafından DLP sistemleri ile kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına iletilmesinin engelleneceğinin belirtilmesine rağmen söz konusu faaliyetin yapılmaması sebebiyle Kişisel Veri Güvenliği Rehberi’nin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği, eski çalışanın yaptığı aktarımların DLP raporuna yansımamış olması Rehberin Kişisel Veri Güvenliği Takibine ilişkin hükümlerine aykırılık teşkil ettiği, ihlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı göz önüne alınarak Rehberde belirtilen Çalışanların Eğitilmesi ve Farkındalık Çalışmalarına ilişkin hükümler uyarınca veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önem vermediğini gösterdiği belirtilmiştir. Bu kapsamda Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/957

15/12/2020

Konu: Bir ilaç şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, ihlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata sonucunda 337 çalışanın bordrosunun yanlış çalışanlara gönderilmesi ile meydana gelmiştir. Kurul tarafından yapılan incelemeler sonucunda, ihlalin gerçekleşmesinden 13 dakika sonra tespit edilmesi ve 2 saat sonrasında sonlandırılması, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluşması, veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu, ihlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 41234

Türkçe dilinde GDPR karar özetlerini görmek ister misin?