EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Sızıntısı" etiketli kararlar

2020/744

29/09/2020
Konu: Bir bankanın veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi kapsamında 225.000-00-TL ve 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi sebebiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca 50.000,00-TL olmak üzere toplam 275.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/357

07/05/2020
Konu: Bir sigorta şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 90.000 TL idari para cezası uygulanmasına; veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurum’a bildirimde bulunması sebebiyle KVKK’nın 12’nci maddesinin (5) numaralı fıkrası gereğince ayrıca yapılacak işlem bulunmadığına karar verilmiştir.

Ceza: 90.000 TL idari para cezası kesilmiştir.

2019/352

26/11/2019
Konu: Bir banka nezdinde gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de aynı personel tarafından mesnetsiz olarak görüntülendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 70.000,00-TL idari para cezası uyulanmasına karar verilmiştir.

2019/254

27/08/2019
Konu: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun sanal bayi hizmetlerini sunduğu internet sitesindeki veri sızıntısından şirketin üyelerinden birinin 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisinin paylaşılmasıyla haberdar olduklarını iletmişlerdir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nin 12’nci maddesinin 1 numaralı fıkrasında ifade edilen teknik ve idari tedbirlerin alınmaması nedeniyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 150.000,00-TL ve geç bildirim sebebiyle 30.000,00-TL idari para cezası uygulanmıştır.