2020/744
29/09/2020
- Sektör: Bankacılık
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.