EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Yetkisiz Erişim" etiketli kararlar

2021 / 427

27/04/2021
Konu: Bir e-ticaret sitesi nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.

Ceza: Veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1’nci fıkrası uyarınca 600.000,00-TL idari para cezası ve 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılması sebebiyle 200.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/407

20/04/2021
Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

2020/905

24/11/2020
Konu: Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına ve KVKK’nın 12’nci maddesinin 5 numaralı fıkrasında yer verilen en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılmasına dayalı olarak 30.000,00-TL olmak üzere toplamda 330.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/269

18/09/2019
Konu: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.

Ceza: 1.600.000,00-TL idari para cezası uygulanmıştır.