1. Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Karar Özeti

Veri sorumlusu bir Banka tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) yapılan bir veri ihlali başvurusunda;

  • Müşteri şikayeti üzerine yapılan inceleme neticesinde çağrı merkezi takım lideri olarak çalışan bir çalışan tarafından erişim yetkisi olmadığı halde müşterilerden birinin kimlik bilgilerini görüntülediği ve bu bilgilerin resmini çekerek 3. kişilerle paylaştığı ve veri ihlalinin bu şekilde gerçekleştiği,
  • Buna ek olarak, veri sorumlusu banka tarafından ihlalinin sistemsel bir hata veya eksiklik nedeni ile değil, çalışanın kendi münferit davranışları neticesinde meydana geldiği,
  • Çalışana gerekli farkındalık eğitimlerinin verildiği, iş sözleşmesinde gerekli taahhütlerin alındığı ve söz konusu bilgiler gözlenmeden önce sistem üzerinde ekranda uyarı verildiği belirtilerek veri ihlalinin gerçekleşmesinde bankalarının bir kusuru olmadığı iletilmiştir.

Veri ihlal bildirimi akabinde yapılan incelemeler neticesinde Kurul tarafından 04.03.2021 tarih ve 2021/190 sayılı Karar ile;

  • Veri sorumlusunun çalışanların eğitilmesi ve farkındalık çalışmaları gerçekleştirme yükümlülüğünün amacının çalışanların rol ve görevleri ile bağlantılı olarak ilgili kişilerin kişisel verileri hakkındaki sorumluluklarının farkında olmalarının sağlanması olduğu ve verilen eğitimlere rağmen çalışanlarda bu farkındalığın sağlanmamış olmasının Veri Güvenliği Rehberi’nde yer alan “veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemesine aykırılık teşkil ettiği,
  • Veri sorumlusu bankanın sistemi üzerinde çalışanların müşterilere ait bilgiler üzerinde herhangi bir kota sınırı olmaksızın istedikleri sayıda sorgulama yapabiliyor oldukları ve bu hususun veri güvenliği ihlaline sebebiyet verdiği ve veri sorumlusu banka tarafından “İzin Verilmedikçe Her Şey Yasaktır.” prensibini uygulamada ve bunu bir kurum kültürü haline getirme konusunda yükümlülüklerini gereği gibi yerine getirmediği,
  • Risk merkezi verilerinin sorgulanmasına yönelik sorgulama yapılabilecek kayıt sayısı/kota belirleme işlemlerinin veri ihlalinden önce yapılmadığı, söz konusu ihlalden ancak yaklaşık iki yıl sonra çalışanlar için sorgulama kota limiti oluşturulduğu ve diğer müşteri sorgulamalarına kota oluşturulmasına yönelik çalışmalara halen devam edildiği,
  • Çalışanların müşteri bilgilerini sınırsız sayıda sorgulayabildiği ve çalışanlara görevleri ile sınırlı bir erişim yetkisi verilmediği tespit edildiğinden bu durumun veri güvenliğine ilişkin tedbirlerin alınması yükümlülüklerine aykırılık teşkil ettiği ve buna ilişkin uyarı sisteminin ancak veri ihlalinden sonra uygulamaya konulduğu

belirtilerek;

  • Veri sorumlusu banka tarafından 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) maddesinin 1. fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmadığı nedeni ile KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 100.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

2. Bir bilişim şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı Karar Özeti

Veri sorumlusu bir bilişim şirketi tarafından Kurum’a intikal ettirilen veri güvenliği ihlali bildiriminde;

  • Bilişim şirketinin sistemine 3. kişiler tarafından siber saldırı gerçekleştirilerek sistem içerisinde yer alan verilerin ele geçirilmeye çalışıldığı,
  • Şirket sisteminde yer alan Pilot isimli uygulamada debugging yani sistem üzerindeki hataları ayıklama programının aktif olduğu ve bu uygulamanın amacının sisteme internet üzerinden erişilerek geliştirmelerin yapılması olduğu ancak, söz konusu uygulamanın 3. kişi erişimlerine olanak sağladığı,
  • kişiler tarafından Pilot uygulamasına erişilerek daha önce şirket sistemine erişmiş olan kişilere ait oturum ID bilgilerine (PHPSESSID değerine) erişim sağlandığı,
  • İhlal edilen verilerin tam olarak tespit edilemediği ancak şirket sisteminde kimlik fotokopisi, vergi levhası, imza sirküsü ve sözleşme bilgilerinin bulunduğu toplam 65.993 kişiye ait kişisel verinin yer aldığı ve buna ek olarak 50.000 adet kredi kartı bilgisinin yer aldığı ve bu kartlardan 8.000 tanesinin aktif şekilde kullanıldığının tespit edildiği,
  • Saldırıdan doğrudan etkilenen özel nitelikli kişisel veri olmamasına karşın kimlik fotokopilerinde yer alan kan grubu ve din bilgisi gibi özel nitelikli kişisel verilerin dolaylı olarak 3. Kişiler tarafından ele geçirildiği,
  • Veri sorumlusu bilişim şirketi tarafından ilgili kişilere e-posta gönderilmek sureti ile veri güvenliği ihlalinden haberdar edildikleri belirtilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kurul tarafından verilen 12/03/2020 tarih ve 2020/216 sayılı Kararda;

  • Veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığının ve bu nedenle sistemde saldırganlar tarafından erişilen verilerin net bir şekilde tespit edilemediği,
  • Veri sorumlusu şirket nezdinde yer alan kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve aktif olarak kullanılamayacak olmasına karşın, bu verilerin imha edilmediği ve bu hususun KVKK’nın 4. maddesi uyarınca “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması gibi) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusunun internet adresinde domain ve hosting hizmetlerinin satın alındığı ekranları incelendiğinde satın alma süreçlerinde kimlik ve iletişim bilgilerinin talep edildiği ancak herhangi bir aydınlatma metninin bulunmadığı göz önüne alındığında veri sorumlusunun KVKK kapsamında yükümlülüklerini yeterli seviyede yerine getirmediği kanaatine varıldığı

tespit edilerek;

  • KVKK’nın 12. maddesinin 1. fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 450.000,00.-TL idari para cezasının uygulanmasına karar verilmiştir.

3. Bir otoyol işletmesinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu tarafından verilen 16.06.2020 tarihli ve 2021/464 sayılı Karar Özeti

Veri sorumlusu otoyol işletmesi tarafından Kurum’a intikal ettirilen ihlal bildiriminde;

  • Şirket nezdinde çalışan kişilerin kişisel e-posta adreslerine iletilecek bordro ve maaş bilgisi dokümanlarının sistemsel bir hata yüzünden ilgili kişi yerine başka çalışanların e-posta adresine gönderildiği ve bu nedenle ilgili kişilerin kimlik bilgisi, sicil numarası ve maaş bilgilerinin diğer çalışanlar tarafından görüldüğü,
  • Şirket nezdinde kullanılan sistemin Türkçe dili versiyonunun senkronize edilmeye elverişli olmadığından gönderilen e-postaların anlık olarak iletilemediği ve kuyruğa eklendiği ve veri ihlalilin de bu nedenle gerçekleştiği
  • İhlalden etkilenen kişi ve kayıt sayısının 489 olduğu,

Veri ihlal bildirimi akabinde Kurum tarafından gerçekleştirilen incelenme neticesinde; Kurul tarafından verilen 25.03.2021 tarihli ve 2021/311 sayılı Karar ile;

  • İhlalin, şirket tarafından çalışanlara ilişkin bordro bilgilerinin kurumsal e-posta yerine kişisel e-posta adreslerine iletilmesi nedeni ile gerçekleştiği ve bu bağlamda şirket tarafından veri güvenliğini sağlamaya ilişkin idari tedbirlerin alınmadığı,
  • Veri sorumlusu tarafından bünyesinde işlenen kişisel veriler ve bu verilere ilişkin potansiyel risklerin belirlenip bu risklere yönelik tedbirler alınmadığı,
  • Veri sorumlusu şirket tarafından ilgili kişi çalışanların kişisel e-postalarının işlenmesi adına çalışanlara iletilen aydınlatma ve açık rıza metinlerinin mevzuat hükümlerine uygun hazırlanmadığı ve ilgili kişilere herhangi bir başka seçenek bırakmadığı,
  • Veri sorumlusu tarafından kurumsal e-posta hizmeti alınmadan çalışanların şahsi e-posta hesaplarının çalıştıkları işlerle ilgili e-posta gönderiminde kullanılmasının verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler üzerinde kontrol kaybına neden olabileceği

tespitlerinden hareketle, Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 60.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

4. Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında” Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Karar Özeti

Veri sorumlusu sigorta şirketi tarafından Kurum’a yapılan veri ihlali bildiriminde;

  • İhlalin veri sorumlusu sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği,
  • Gerçekleşen ihlalin sigorta şirketi acentesi tarafından gönderilen şikayet tutanağı ile anlaşıldığı, ilgili tutanakta acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği ve ihlalin bu şekilde tespit edildiği,
  • İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve 22.02.2020 tarihinde Kurum’a bildirildiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu ve ihlalden etkilenen kişi sayısının 172 olduğu,
  • Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı belirtilmiştir.

Veri sorumlusu tarafından yapılan veri ihlal bildirimi akabinde Kurum tarafından gerçekleştirilen inceleme neticesinde; Kurul tarafından verilen 16.06.2020 tarihli ve 2020/466 sayılı Karar ile;

  • Veri sorumlularının hizmet alırken veri işleyenlerin, kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandıklarından emin olmaları gerektiği ancak veri sorumlusu sigorta şirketi tarafından veri işleyen acenteye herhangi bir donanım temin etmediği ve ihlalin gerçekleştiği acente bilgisayarının da acenteye ait kendileri tarafından temin edilmiş bir bilgisayar olduğu,
  • Veri sorumlusu tarafından ilgili bilgisayarın olay akabinde formatlanmasından dolayı araştırma yapılamadığı ve erişilen kişisel verilerin tespit edilemediği ve bu durumun kişisel verilerin herhangi bir nedenle zarar görmesi halinde yedeklenmiş verilerin kullanılması tedbirine aykırılık teşkil ettiği,
  • Acente yetkililerine veri ihlalinin gerçekleşmesi akabinde veri güvenliğine ilişkin eğitim verildiği ve bunun veri güvenliğinin sağlanması yükümlülüklerine aykırılık teşkil ettiği,
  • Veri işleyen acente tarafından Windows 7 sürümünün kullanıldığı ve Microsoft tarafından yapılan duyuruda Windows 7 sürümünün gerekli güvenlik uygulamalarını desteklemediği ve müşterilerinin güvenlik açısından Windows 10 kullanması gerektiği belirtilmesine rağmen veri sorumlusu tarafından gerekli tedbirlerin alınmadığı ve donanım ve yazılımlarının yenilenmediği,
  • Veri işleyen acente tarafından hiçbir anti-virüs programı kullanılmadığı tespit edilmiştir.

Tüm bu tespitlerden hareketle Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 172.000,00.-TL idari para cezası uygulanmasına,
  • Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği, ihlalin bildirildiği 77 kişiden 33 kişiye bildirimin 26.03.2020 tarihinde, 9 kişiye 16.04.2020 tarihinde ve 35 kişiye ise 20.04.2020 tarihinde yapıldığı, dolayısıyla ihlalin tespit tarihi ile bildirim tarihleri arasında 1 ayı aşkın süre bulunduğu nedeni ile veri sorumlusuna ihlal bildirimin yapılmasına ilişkin hususların hatırlatılmasına karar verilmiştir.


5.Bir sigorta şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 30.06.2020 tarih ve 2020/511 sayılı Karar Özeti


Veri sorumlusu sigorta şirketi tarafından Kurum’a yapılan veri ihlali bildiriminde;

  • Sağlık sigortası müşterilerine yönelik olan eczane provisyon uygulamasının 2018 yılında değiştirilmesi nedeni ile sürekli ilaç kullanım raporu olan 683 müşteriye dair bir excel tablosu oluşturulduğu,
  • Bu tabloda yer alan müşteri bilgilerinin yeni uygulamaya tek tek işlenmesi sırasında excel dosyasının tamamının provizyon uygulaması ile entegre olarak çalışan doküman yönetim sistemine sehven yüklendiği,
  • Bunun akabinde mobil uygulamada 11 adet müşterinin kullanımına açık olan bölümden ilgili dokümana erişim sağlanabildiği ve bu 11 müşteriden sadece birinin ilgili dokümana eriştiği,
  • İhlalden 683 müşterinin kimlik, müşteri işlem ve sağlık verilerinin etkilendiği,
  • İlgili dosyaya erişim sağlayan kullanıcı ile irtibata geçildiği, kendisine ihlal ve sonuçlarına yönelik bilgilendirme yapıldığı, erişim sağladığı dosyanın acil olarak silinmesi konusunda talepte bulunulduğu, bu kapsamda ihlalin ilgili kişiler üzerindeki potansiyel etkilerinin oldukça sınırlı olduğunun değerlendirildiği ifade edilmiştir.

Veri ihlal bildirimi akabinde Kurul tarafından verilen 30/06/2020 tarihli ve 2020/511 sayılı karar ile;

  • İhlalden kimlik ve müşteri işlem verileri ile özel nitelikli kişisel verilerden sağlık verilerinin etkilendiği ve bu verilerin 11 sigorta müşterisi tarafından görülebilir hale geldiği ve veri sorumlusu tarafından özel nitelikli verilerin korunmasına ilişkin gerekli tedbirlerin alınmadığı
  • Bu erişilebilirliğin 25.04.2019 tarihinden 07.12.2019 tarihine kadar devam ettiği ancak bu ihlalin dosyaya erişen müşteri tarafından bildirimde bulunulmadan önce sigorta şirketi tarafından tespit edilemediği bu hususun veri sorumlusu tarafından veri güvenliğini sağlamaya ilişkin tedbirlerin alınmadığı ve düzenli zafiyet taramaları yapılmadığının göstergesi olduğu,
  • Veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almadığı ve
  • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da öğrenilmesi halinde ilgili kişiler hakkında mağduriyete neden olabilecek nitelikteki verilerin ihlale konu olduğu bu yüzden de ihlalin potansiyel tehdit açısından ciddi bir risk taşıdığı tespit edilmiştir.

Tüm bu hususlar doğrultusunda Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 100.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

6. Bir Bankanın veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 29.09.2020 tarih ve 2020/744 sayılı Karar Özeti

Kurum’a intikal ettirilen veri ihlal bildiriminde özetle;

  • Veri ihlalinin, bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği,
  • Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği ve söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu,
  • Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir.

Veri ihlal bildirimi akabinde Kurum tarafında yapılan incelenme neticesinde Kişisel Verileri Koruma Kurulu tarafından verilen 29/09/2020 tarihli ve 2020/744 sayılı karar ile;

  • İhlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği,
  • İhlal ile ilgili olan çalışana veri ihlalinden önce farkındalık eğitimi verilmiş olmasına rağmen bahse konu eğitimden sonra ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu,
  • İhlali gerçekleştiren çalışan tarafından elde edilen kişisel verilerin aktarılabilir olması ve bu yetkinin sınırlandırılmamış olmasının yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı,
  • Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346 müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve bu durumun çalışanların görev ve sorumluluklarını aşacak şekilde yetkilerini kullanmalarının önüne geçilebilmesi açısından veri sorumlusu tarafından alınması gereken idari ve teknik tedbirlerin alınmadığını gösterdiği belirtilmiştir.

Tüm bu hususlar uyarınca Kurum tarafından;

  • Veri sorumlusu banka hakkında KVKK’nın 12. maddesinin 1. fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmadığından kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak KVKK’nın 18. maddesinin 1. fıkrasının b bendi kapsamında 225.000,00.-TL,
  • İhlalin 31.10.2019 tarihinde gerçekleştiği ve bankanın Teknoloji Veri Sızıntısı ekibi tarafından 04.11.2019 tarihinde Teftiş Kurulu Başkanlığı’na iletildiği, veri sorumlusunun Kurum’a bildirimi 06.12.2019 tarihinde gerçekleştirdiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı bu nedenle veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 50.000,00.-TL olmak üzere toplam 275.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

7. Bir kozmetik şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 25.03.2021 tarih ve 2021/311 sayılı Karar Özeti

Veri sorumlusu kozmetik şirketi tarafından Kurum’a yapılan ihlal bildiriminde özetle;

  • 05.2020 tarihinde, veri sorumlusu kozmetik şirketinin internet sitesinde yer alan kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
  • Bu nedenle veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
  • Bu işlem esnasında; DDoS yani dağıtılmış ağ saldırılarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmette çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu,
  • Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı,
  • Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği ancak bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu ve toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü belirtilmiştir.

Veri bildirimi akabinde Kurul tarafından yapılan incelemeler neticesinde verilen kararda özetle;

  • İhlalin kampanya nedeni ile site yoğunluğunun yüksek olduğu dönemde meydana gelmiş olmasından dolayı oldukça yüksek sayıda ziyaretçinin kişisel verilerinin diğer kişilerce görülmüş olabileceği,
  • Fonksiyonun uygulamaya alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği,
  • Veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı,
  • Veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı ve veri sorumlusu tarafından risk odaklı hareket edilmediği tespit edilmiştir.

Tüm bu hususlar nazara alınarak Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 200.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

8. Bir sigorta şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 25.02.2021 tarih ve 2021/154 sayılı Karar Özeti

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalinin dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
  • İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği ve ihlalin eski çalışanın ihlale konu kişisel verileri, çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafından tespit edildiği,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu ve ihlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
  • Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına e-posta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği belirtilmiştir.

Veri ihlali bildirimi akabinde Kurum tarafından gerçekleştirilen inceleme neticesinde Kurul tarafından verilen 25/02/2021 tarihli ve 2021/154 sayılı Karar ile;

  • İhlalin veri sorumlusu tarafından tespit edilemediği ve söz konusu ihlalden 544 kişiye ait kimlik, iletişim ve araç plaka bilgilerinin etkilendiği,
  • DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu ancak veri sorumlusu tarafından söz konusu siber güvenlik önlemlerinin alınması hususunda gerekli tedbirleri almadığı,
  • Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımaması ve bu hususun tüm kullanıcıların işlem ve hareketlerinin kaydının tutulması ve bu kayıtların düzenli olarak kontrol edilmesi tedbirine aykırılık teşkil ettiği,
  • İhlali gerçekleştiren eski çalışana dair farkındalık eğitimi için online eğitim düzenlendiği ancak bu eğitime çalışanın katılmadığı, eğitim içeriğinde Kuurm internet sitesine yönlendiren linkler olduğu ve eğitimin çalışana yönelik kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği tespit edilmiştir.

Tüm bu hususlar doğrultusunda Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca, 150.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

9. Bir hastanenin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 20/04/2021 tarih ve 2021/407 sayılı Karar Özeti

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalara ait dosyaları arşivden alarak bazı hastane çalışanları aracılığıyla hastane dışına çıkarılması suretiyle gerçekleştiği,
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
  • İhlalden; 789 hastanın etkilendiği ve ihlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soy geçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, ön tanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği belirtilmiştir.

Veri ihlal bildirimine ilişkin Kurum tarafından gerçekleştirilen incelenme neticesinde; Kurul tarafından verilen 20/04/2021 tarihli ve 2021/407 sayılı karar ile;

  • İhlalden 789 hastanın etkilendiği ancak; karakol tutanağına göre 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği,
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu,
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı, veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı ve eğitim verilen çalışanların ihlalin gerçekleşmesine yardım etmesi nedeniyle veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin anlaşıldığı,
  • İhlal şüphesini doğuran olayların bulunmasına rağmen ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı,
  • İhlali gerçekleştiren çalışanların Başhekimliğin izni ve onayı bulunmaksızın, arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği ve bu hususun veri sorumlusunun fiziki güvenliği sağlamaya yönelik tedbirleri almakta yetersiz kaldığını gösterdiği,
  • Yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra tespit edildiği ve bu durumun veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
  • İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınması gerektiği ve hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığı tespit edilmiştir.

Tüm bu hususlar dikkate alınarak Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 450.000,00.-TL
  • İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği ve ilgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu nedeniyle KVKK’nın 12. maddesinin 5. fıkrası uyarınca 72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 150.000,00.-TL olmak üzere toplam 600.000 TL idari para cezası uygulanmasına ve
  • İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

10. Bir sigorta şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulu’nun 04.03.2021 tarih ve 2021/187 sayılı Karar Özeti

Veri sorumlusu sigorta şirketi tarafından Kurum’a intikal ettirilen veri ihlal bildiriminde;

  • Bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dâhil olan çalışanlarına dair “Rapor” iletildiği,
  • Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile “Rapor” ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı,
  • Sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair “Rapor” dosyası gönderildiği,
  • “Raporu” seçen sorgunun hatalı çalışması” neticesinde, sistem kapsamında olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, yine sistem kapsamındaki 28 işveren şirkete, sistemsel olarak hatalı şekilde gönderildiği,
  • İhlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği,
  • İlgili dosyaya erişim sağlayan ve ihlali veri sorumlusuna bildiren firmanın telefon kanalı ile yapılan çağrı esnasında 19.02.2020 saat 09.55’te ihlal hakkında bilgi verdiği,
  • Bu firmaya da ihlalden etkilenen tüm firmalara olduğu gibi bilgilendirme yapıldığı ve sehven gönderilen bilgilerin silinmesi gerektiğinin tekrarlandığı,
  • İhlale konu yazılımın canlıya alınmadan önce test edildiği,
  • İhlalden etkilenen kişisel verilerin TCKN / Mavi Kart No, Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu belirtilmiştir.

Veri ihlal bildirimi akabinde Kurum tarafından gerçekleştirilen incelenme neticesinde; Kurul tarafından verilen 04.03.2021 tarihli ve 2021/187 sayılı karar ile;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı veri işleyende meydana gelen sistemsel bir hata sonucu sorgunun hatalı çalışması nedeniyle emeklilik hizmeti kapsamında müşteri olan 31 işveren şirketin çalışanı olan 681 ilgili kişinin kişisel verilerini yine emeklilik kapsamında müşterilere gönderdiği,
  • Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınması ve uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılması, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmesi düzenlemesi gereği, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği ancak; ihlale konu olaydan önce tespitinin yapılamadığı,
  • İhlale konu olayın gerçekleşme tarihi (18.01.2018) ile tespit tarihi (19.02.2020) arasında yaklaşık 2 yıllık bir gecikmenin bulunduğu ve bu hususun veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği ve bu durumun bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine yönelik tedbirlerin alınmasına uyulmadığını gösterdiği tespit edilmiştir.

Tüm bu hususlar dikkate alındığında Kurul tarafından;

  • KVKK’nın 12. maddesinin 1. fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının b bendi uyarınca 125.000,00.-TL idari para cezası uygulanmasına,
  • Ve ilgili kişilere yapılacak bildirimlerde Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunulması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.