EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri İhlali" etiketli kararlar

2022/243

17/03/2022
Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

2021/1324

23/12/2021
Konu: Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildirimi ile veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, ihlalden 21.504.083 kullanıcının etkilendiği, etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri ihlalinin çok büyük çapta olduğu, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı, 8 gün boyunca süren veri ihlalinin veri sorumlusu tarafından fark edilmemesinin veri sorumlusunun kusurundan kaynaklandığı, güvenlik uyarılarının hizmet alınan üçüncü taraflarca kontrol edilmediği sebebiyle veri sorumlusunun gerekli denetimleri sağlamadığı belirtilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.900.000.-TL idari para cezası uygulanmıştır.

2020/511

30/06/2020
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: KVKK’nın 18’nci maddesinin 1 numaralı fırkasının b bendi uarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/191, 2020/192, 2020/193, 2020/194

03/03/2020
Konu: Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarda sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamarın kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde KVKK’nın 4’üncü madesinde sayılan genel ilkelere riayet edilmediği, söz konusu faalieytelerin KVKK’nın 12’nci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel veriler hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muahfazasını sağlamak yükümlülüklerine aykırılık teşkil ettiğinin tespit edildiği ve veri ihlali süresi, veri ihalalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu 4 şirket hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlanmaması sebebiyle 950.000,00-TL ve Kurum’a ve ilgili kişilere bildirim yapılmadığından bahisle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/352

26/11/2019
Konu: Bir banka nezdinde gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de aynı personel tarafından mesnetsiz olarak görüntülendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 70.000,00-TL idari para cezası uyulanmasına karar verilmiştir.

2019/269

18/09/2019
Konu: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.

Ceza: 1.600.000,00-TL idari para cezası uygulanmıştır.

2019/254

27/08/2019
Konu: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun sanal bayi hizmetlerini sunduğu internet sitesindeki veri sızıntısından şirketin üyelerinden birinin 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisinin paylaşılmasıyla haberdar olduklarını iletmişlerdir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nin 12’nci maddesinin 1 numaralı fıkrasında ifade edilen teknik ve idari tedbirlerin alınmaması nedeniyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 150.000,00-TL ve geç bildirim sebebiyle 30.000,00-TL idari para cezası uygulanmıştır.

8/2/2018

02/08/2018
Konu: Kişisel Veri Güvenliği İhlali gerçekleşmesi üzerine veri sorumlusu şirketin ilgili kişilere geç bildirimde bulunması.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucu işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından ilgili kişi ve kurula KVKK’da geçen sürede bildirimde bulunmaması üzerine idari yaptırım uygulanmıştır.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.