EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri İhlal Bildirimi" etiketli kararlar

2021/426

27/04/2021
Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/407

20/04/2021
Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

2021/311

25/03/2021
Konu: Bir kozmetik şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme neticesinde; , fonksiyonun canlı ortama alınmadan önce teste tabi tutulmasına rağmen yoğunluğa uygun şekilde yazılımların kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişikliklerin ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı ve bu kapsamda Kişisel Veri Güvenliği Rehberinin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yükümlülüklerine aykırılık teşkil ettiği, veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Rehberin Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini yerine getirmediği ve bu kapsamda veri sorumlusunun Rehberin Mevcut Risk ve Tehditlerin Belirlenmesine ilişkin yükümlülüklerinden risk odaklı yaklaşım çerçevesinde aykırılık teşkil ettiği belirtilmiştir.

Ceza: Veri sorumlusu hakkında 200.000-TL idari para cezası uygulanmasına karar verilmiştir.

2021/187

04/03/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dahil olan çalışanlarına dair(sigortalılara) “Rapor” iletildiği, 28 müşteri şirkete diğer 31 müşteri şirketin çalışanlarına dair “Rapor” dosyası gönderildiği, ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği, ihlale konu yazılımın canlıya alınmadan önce test edildiği ve ihlalden etkilenen kişisel verilerin TCKN, mavi kart no, ad-soyad ve planlanan ara verme bitiş tarihi sözleşme durumu bilgileri olduğu ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde; veri ihlaline sebep olan sistemsel hatanın uygulama yazılımdan kaynaklanması sebebiyle Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) yer alan Bilgi Teknolojileri sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınmasının gerektiği, ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında yaklaşık 2 yıllık gecikmenin bulunması sebebiyle Rehberde belirtilen Kişisel Veri Güvenliğinin Takibine ilişkin yükümlüklere ilişkin olarak gerekli kontrol ve denetimlerin zamanında gerçekleştirilmemesi, ve ihlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edilmesi sebebiyle Rehberin Kişisel Veri Güvenliğinin Takibine ilişkin bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine ilişkin yükümlülüğü aykırılık teşkil ettiği belirtilmiştir.

Ceza: 125.000-TL idari para cezası uygulanmasına karar verilmiştir.

2021/190

04/03/2021
Konu: Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Bir müşterinin şikayeti üzerine banka tarafından yapılan inceleme neticesinde bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini iş sözleşmesine aykırı şekilde söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlenmesi, müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafınan üçüncü kişiyle paylaşılması suretiyle gerçekleştiği, olaya ilişkin olarak banka sistemleriyle ilgili bir güvenlik açığından değil çalışanın münferit davranışından kaynaklı olduğu, söz konusu ihlalin 1 (bir) müşterinin kimlik bilgilerinin yetkisiz kişiyle paylaşılmasından kaynaklandığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde; çalışan tarafından gerçekleştirilen eylem Kurul tarafından çalışana veri gizliliği ve güvenliği eğitimi sağlanmış olmasına rağmen Kişisel Veri Güvenliği Rehberinin Çalışanların Eğitilmesi ve Farkındalık Çalışmalarında belirtilen yükümlülükler açısından çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanmasına ilişkin yükümlülüğüne aykırılık teşkil ettiği, bankada takım lideri olarak çalışan personelin müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yapabilmesi Rehber’deki “İzin Verilmedikçe Her Şey Yasaktır” prensibine aykırılık teşkil ettiği, çağrı merkezi takım lideri olarak görev yapan çalışanların müşterilerin bilgilerine sınırsız sayıda sorgulama yaparak erişebilmesi Rehberin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği ve KVKK’nın 12’inci maddesinin 1 numaralı fıkrasına aykırı olduğu belirtilmiştir.

Ceza: 100.000-TL idari para cezası verilmesine karar verilmiştir.

2021/154

25/02/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde; veri sorumlusu tarafından DLP sistemleri ile kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına iletilmesinin engelleneceğinin belirtilmesine rağmen söz konusu faaliyetin yapılmaması sebebiyle Kişisel Veri Güvenliği Rehberi’nin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği, eski çalışanın yaptığı aktarımların DLP raporuna yansımamış olması Rehberin Kişisel Veri Güvenliği Takibine ilişkin hükümlerine aykırılık teşkil ettiği, ihlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı göz önüne alınarak Rehberde belirtilen Çalışanların Eğitilmesi ve Farkındalık Çalışmalarına ilişkin hükümler uyarınca veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önem vermediğini gösterdiği belirtilmiştir. Bu kapsamda Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmasına karar verilmiştir.

2020/957

15/12/2020
Konu: Bir ilaç şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, ihlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata sonucunda 337 çalışanın bordrosunun yanlış çalışanlara gönderilmesi ile meydana gelmiştir. Kurul tarafından yapılan incelemeler sonucunda, ihlalin gerçekleşmesinden 13 dakika sonra tespit edilmesi ve 2 saat sonrasında sonlandırılması, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluşması, veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu, ihlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/935

08/12/2020
Konu: Bir sigorta şirketinin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (“Çağrı Merkezi”) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, Veri Kaybı Önleme Sistemi (“DLP”) düzenli kontrolleri sırasında sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği, sehven iletilen poliçe muafiyet bildiriminde ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği, veri ihlalinden bir kişinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden bir kişinin etkilendiği, ihlalden etkilenen verilerin kimlik, iletişim ve sağlık bilgileri olduğu, veri sorumlusunun “en kısa sürede” (72 saat içerisinde) Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirilmesi, ilgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtilmesi göz önüne alınarak KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/905

24/11/2020
Konu: Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına ve KVKK’nın 12’nci maddesinin 5 numaralı fıkrasında yer verilen en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılmasına dayalı olarak 30.000,00-TL olmak üzere toplamda 330.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/816

22/10/2020
Konu: Bir teknoloji şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde mağazada yapılan bir alışveriş sonrasında adına e-posta düzenlenen müşterinin sistemde kayıtlı e-posta adresine ilgili faturanın gönderilmesi neticesinde bu faturanın aynı ad ve soyada sahip farklı bir müşteriye ulaşması neticesinde gerçekleştiği, CRM sistemi üzerinde adına fatura düzenlenen müşterinin telefon numarasının aynı ad ve saoyada sahip iki farklı müşteri adına oluşturulduğu ve kayıtlarda her ikisinde de yer aldığı, ihlalden etkilenen kişisel verilerin müşterinin adı, soyadı, T.C. Kimlik Numarası, cep telefonu numarası ve fatura bilgileri olduğu, belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde ihlalden 1 kişiye ait kişisel verilerin etkilenmesi, kişiye telefon yoluyla bildirim yapılması, ihlale konu kişisel verilerin ilgili kişi üzerinden olumsuz etki doğurma olasığının düşük olduğu, ihlale konu e-postanın silinmesinin sağlanması ve veri sorumlusunun en kısa sürede müdahale etmesi sebebiyle KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.