EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Sızıntısı Önleme Sistemi" etiketli kararlar

2020/744

29/09/2020
Konu: Bir bankanın veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi kapsamında 225.000-00-TL ve 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi sebebiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca 50.000,00-TL olmak üzere toplam 275.000,00-TL idari para cezası uygulanmasına karar verilmiştir.