EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veritabanı" etiketli kararlar

2021/1324

23/12/2021

Konu: Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildirimi ile veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, ihlalden 21.504.083 kullanıcının etkilendiği, etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri ihlalinin çok büyük çapta olduğu, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı, 8 gün boyunca süren veri ihlalinin veri sorumlusu tarafından fark edilmemesinin veri sorumlusunun kusurundan kaynaklandığı, güvenlik uyarılarının hizmet alınan üçüncü taraflarca kontrol edilmediği sebebiyle veri sorumlusunun gerekli denetimleri sağlamadığı belirtilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.900.000.-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021/111

09/02/2021

Konu: İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet kapsamında yapılan incelemede, ilgili kişinin telefon numarasına yakınına ait olan bir borca ilişkin ve kendisine ait içerik barındırmayan iki adet kısa mesaj gönderilmesine ilişkin olarak ilgili kişinin telefon numarasının ilk hukuk bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak açık rıza dışındaki kişisel veri işleme şartlarından herhangi birinin mevcut olmadığı, veri sorumlusu şirket tarafından borç takibi amacıyla kullanılan sisteme girilen bilgilerin KVKK’nın 4’üncü maddesi gereğince doğruluk ve güncellik kapsamında denetim ve kontroller yapılmaksızın ikinci avukata gönderilmesi, teknik ve idari kontrollerin yapılmadığı, Yasal Takip Sistemi’nde bulanan telefon numarasının kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen ilgili kişiye SMS gönderen veri sorumlusu avukatın KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birisi bulanmamasına rağmen işlenmesi sebebiyle KVKK’nın 12’nci maddesinin birinci fıkrasının a bendi kapsamında veri güvenliğine ilişkin yükümlüklerin yerine getirilmediği gerekçesiyle veri sorumluları hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.(İlk hukuk bürosu/veri sorumlusu avukat), 115 000 TL idari para cezası kesilmiştir.(Veri sorumlusu şirket), 50 000 TL idari para cezası kesilmiştir. (diğer hukuk bürosu veri sor. Av)

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2020/905

24/11/2020

Konu: Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına ve KVKK’nın 12’nci maddesinin 5 numaralı fıkrasında yer verilen en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılmasına dayalı olarak 30.000,00-TL olmak üzere toplamda 330.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2019/255

27/08/2019

Konu: Bir turizm şirketinin veri ihlali hakkında Karar.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 400.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL olmak üzere toplamda 500.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2019/143

16/05/2019

Konu: Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan bildirimde veri sorumlusu veritabanının tutulduğu ağa Temmuz 2014’ten veri yetkisiz erişim olduğu, Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, Türkiye’den yaklaşık 1.24 milyon müşterinin kaydının bulunduğu , web suncuusuna erişim sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği beliritlmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından KVKK’nın 12’nci madesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2019/144

16/05/2019

Konu: Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde veri sorumlusu bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, saldırganın veri sorumlusunun ortamına uzaktan eriştiği ve müşteri sadakat sistemiin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplamda 1.286 kişinin etkilendiği ve isim, uyruk, doğum tarihi , telefon numarası , elektronik posta adresi , pasaport numarası, kimlik numarası verilerinin etkilendiği belirtilmiştir. kurul tarafından yapılan incelemeler sonucunda, veri ihlalinin 2 ay sonra tespit edilmesinin güvenlik çaığı olduğu ve veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve iadri tedbirlerin alınmaması nedeniyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesi kapsamında 450.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

KVKK Arar, bir OD Privacy projesidir.

©2021 kvkkarar.com. Tüm hakları saklıdır.

web tasarım: mare.design
Çerez Ayarlarını Düzenle
Türkçe dilindeki özgün içerikler Google Translate aracılığıyla diğer dillere çevirilmektedir.

Türkçe dilinde GDPR karar özetlerini görmek ister misin?

Hemen Abone Ol!