A-

A+

Kişisel Verileri Koruma Kurulu’nun Bankalar Tarafından Veri Güvenliğine İlişkin Alınması Gereken Teknik ve İdari Tedbirlere İlişkin Kararı

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bankalarda veri güvenliğinin sağlanması için alınması gereken teknik ve idari tedbirlere ilişkin olarak 8 Ocak 2020 tarihinde kendi resmi internet sitesinde yayınlamış olduğu 26/11/2019 tarihli ve 2019/352 sayılı Kararı (“Karar”) veri güvenliğinin sağlanması prensipleri bakımından büyük önem taşıyor.

Kurul’un özellikle hangi tedbirlerin alınmasında özen gösterilmesi gerektiği veya hangi tedbirlerin teorik olarak alınmış olunduğu belirtilmekle beraber; uygulamada aslında ya hiç alınmamış olduğu veya yetersiz olduğu ile ilgili tespitleri oldukça dikkat çekicidir.

  1. Karara konu olay nasıl gerçekleşmiştir?

Karara konu olayda temel olarak bir banka personeli tarafından müşteri bilgilerinin sızdırılması söz konusu. Tek başına bakıldığında aslında karşılaşılması pek muhtemel olan bu ihlal, veri sorumlusunun toplamda 100.000 TL idari para cezası ile cezalandırılmasına neden olmuştur. Gerçekten, bir banka nezdinde hangi veri ihlallerinin gerçekleşebileceği gibi bir soruda akla gelen ilk örneklerden biri de banka çalışanı tarafından müşteri bilgilerinin sızdırılması olacaktır. Bilişim dünyasında risklerin tamamen önlenmesi her ne kadar teknik olarak mümkün değilse de, veri sorumlusundan beklenen yeterli teknik ve idari tedbirleri almış olması önemlidir.

Olaya dönecek olursak, banka personeli tarafından müşteri bilgileri, iki farklı tarihte şahsi e-posta adresine iletiliyor ve ilgili müşterilerden birinin hesabından sahte belgelerle para çekiliyor.  Öte yandan yine aynı personel tarafından ilgili müşterilerden farklı olarak üç başka müşterinin daha bilgileri de gerekçesiz bir şekilde görüntüleniyor. Bu bilgilerin nüfus cüzdanı, bakiye, kimlik, iletişim gibi bilgilerden oluştuğunu ve Kurul’un bu verileri “kritik” olarak nitelendirdiğinin de altını çizelim.

Söz konusu eylemleri takiben, Banka tarafından ilgili müşteri verilerinin yüksek miktarlı dolandırıcılık eylemlerine aracı olma ve hukuka aykırı menfaat sağlanmış olması ihtimalinin yüksek olduğu kanaatine ulaşılması sebebiyle, personel ile olan iş akdinin feshedilmesinin yanı sıra personel ve olaya karışan tüm şahıslar hakkında da dolandırıcılık ve zimmet suçlarından Savcılığa suç duyurusunda bulunulmuştur. Son olarak bankanın yazısına göre müşterilerin hesaplarından kendi bilgileri dışında işlem gerçekleştirilmesi suretiyle müşteri zararı oluşmuş ve bu zarar da banka tarafından karşılanmıştır.

  1. Kurul’ın altını çizdiği noktalar nelerdir?
  • Veri Sızıntısı Tespit/Önleme Sistemi

Veri sorumluları tarafından veri işleme faaliyetlerinde özellikle bulut tabanlı sistemlerin kullanımının yaygınlaşması ve artık neredeyse tamamen bilişim araçlarının kullanılmasıyla beraber mevcut güvenlik önlemleri de yetersiz hale gelmeye başlamıştır. Zira kullanılan teknoloji arttıkça bu teknolojinin en büyük dezavantajlarından olan güvenlik risklerinin bertaraf edilmesinin de aynı derecede zorlaştığı unutulmamalıdır. Veri sızıntısını tespit etme ve önleme sistemleri de bilişim sistemlerine girilmesi eyleminin biraz daha ötesinde bu sistemlerden olası bir veri sızıntısını tespit etmeye veya önlemeye yönelik olarak geliştirilmiş güvenlik önlemleri olup; veriler üzerinde lokasyon, sınıflandırma veya izleme metotlarını kullanarak güvenlik risklerini önlemeye yardımcı olmak bakımından büyük önem taşır. Dolayısıyla istenmeyen verilerin dışarı çıkarılmaması için veri sızıntısı tespit veya önleme sistemlerinin (Data Loss Prevention-DLP) kullanılması gerekir.

Somut olayda çalışanlar tarafından banka dışına gönderilen e-postalara ilişkin olarak bu sistemlerin kullanıldığı belirtilmişse de kurumsal e-postadan şahsi e-posta adresine bilgi aktarımı yapılabilmiştir. Kurul’a göre bu durum, alınan tedbirlerin söz konusu ihlali engellemek için yeterli olmadığını gösteriyor.

  • Veri sorumlusu tarafından alındığı belirtilen teknik tedbirlerin pratikte hiç uygulanmaması veya yetersiz olması

Kurul’un bu noktada esas dikkat çekmek istediği hususun veri sorumluları tarafından alındığı belirtilen tedbirlerin aslında alınmamış olduğuna yönelik tespiti olduğunu düşünüyoruz. Zira Kurul’a göre, ihlalin gerçekleştiği bankanın teknik tedbirleri arasında “kredi kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği önlemi yer almasına rağmen söz konusu ihlal, bu tedbirin kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğunu gösteriyor. Kurul’un bu tedbirin aşıldığını belirtmiş olmasından kredi kartı numaralarını içeren verilerin de ihlale konu olduğunu anlıyoruz. Nitekim Kurul kararında da bu verilerin ihlale konu olduğu belirtilmiş ancak Karar’dan anlaşıldığı kadarıyla banka tarafından gönderilen yazıda kredi kartı numaralarından bahsedilmemiş.

Banka tarafından alındığı belirtilen tedbir, kredi kartı numarasını içeren e-postaların karantinaya alınması ve gönderilememesi olup; bu tedbir e-postada yer alan kredi kartı numaralarının belli bir sayıya ulaşması halinde devreye girmektedir. Karardan bu tedbirin ne oranda uygulandığı tam olarak anlaşılmasa da, tedbirde yer alan “belli bir adede” ifadesinin belirsizlik içerdiğini ve bu tedbirin devreye girmesi için aslında çok yüksek sayıda kredi kartı numarasının zorunlu olmadığı ve e-postanın az sayıda kredi kartına ait numaralarını içerse de belli bir kontrolden geçmesi gerekebileceğini belirtmek gerekir. Nitekim olayda da ihlale konu e-posta ile üç adet müşteriye ait bilgilerin gönderilmesi bunu net bir şekilde ortaya koymaktadır.

Son olarak, veri sorumlusunun, almış olduğunu belirttiği teknik ve idari tedbirlerin sadece teoride kalmadığı, pratikte de uygulandığı ve Kurul’un ifadesiyle “kötü niyetli kişilerce kolayca erişebilecek düzeyde” olmadığı noktalarında dikkatli olması gerektiğinin tekrar altını çizmekte fayda var.

  • Verilerin dolandırıcılık eylemlerine aracı olması

Yukarıda da belirtildiği gibi, sızdırılan bu veriler çerçevesinde sahte belgeler düzenlenerek ilgili müşteri hesaplarından para çekiliyor. Kurul’un, bizatihi kişisel verilerin sızdırılmasından başka, ayrıca bu verilerin hukuka aykırı eylemlere konu olmasının da altını çizdiğini görüyoruz.

Burada işyerlerinde sıklıkla gerçekleştirilen veri ihlallerine ve bu suretle elde edilen verilerin dolandırıcılık benzeri eylemlerde kullanılmasına değinmek önemli, zira uygulamada en sık karşılaşılan problemlerden biri de budur. Aslında her ne kadar olay özelinde banka, genel olarak da veri sorumlusu tarafından da alınmayan veya yetersiz görülen tedbirler söz konusu olsa da, kimi zaman veri sorumlusunun yeterli bütün tedbirleri aldığı durumlarda da bu tür eylemlerin gerçekleştirilebildiği durumlarla karşılaşmaktayız. Bu noktada her fırsatta altını önemle çizdiğimiz insan faktörünün büyük ölçüde etkili olduğunu ve bu nedenle çalışanlar nezdinde kişisel verilerin korunması kapsamında bilinç ve farkındalık oluşturmanın önemine tekrar değinmek gerekir.

Bunun yanı sıra daha önce işyerlerinde bilgi güvenliği sorunlarına ilişkin olarak yazmış olduğumuz yazımızda da belirttiğimiz gibi işyerlerinde çalışanlar tarafından veri sorumlusunun aldığı bütün önlemlere rağmen gerçekleştirilen ihlaller karşısında mahkemelerin bakış açısı da büyük önem arz etmektedir. Mahkemelerin kişisel verilerin korunması ile bilgi güvenliği karşısında konunun önemini dikkate almaları son derece önemlidir.

  • Müşteri bilgisi olmadan yüksek miktarlı para çekimleri

Kurul’un müşteri bilgisi olmadan yüksek miktarlı para çekim işlemleri yapılmasına dikkat çekmesi aslında alınması gereken çok basit bir tedbiri içerir: “Müşteri bilgisi olduğundan emin olmadan yüksek miktarlı para çekim işlemleri gerçekleştirmeyin!” Buna göre bankaların, özellikle yüksek miktarlı işlemlerde müşterinin bilgisinin ve hatta olurunun olduğundan emin olmak üzere yeterli bütün tedbirleri alması gerekir. Aksi takdirde Kurul tarafından idari para cezası yaptırımı uygulanabilecektir. Yine müşteri bilgisi olduğunu gösteren belgelerin sahte olmadığının tespiti için gereken tedbirlerin alınması da bu kapsamdadır. Veri sorumlusunun bu kapsamda alması gereken tedbir, müşteri bilgisi olmadan özellikle yüksek miktarlı işlemlerin yapılmasına engel teşkil etmelidir.

  1. Banka hakkında uygulanan yaptırım

Yukarıda belirtilen gerekçelerle Bankanın, Kanun’un veri güvenliğine ilişkin yükümlülükleri içeren 12. maddesi uyarınca gerekli teknik ve idari tedbirleri almadığı gerekçesiyle 70.000 TL; bundan başka söz konusu ihlali 72 saat içerisinde bildirmeyerek “en kısa sürede” bildirim yapma yükümlülüğünü yerine getirmediği gerekçesiyle de 30.000 TL olmak üzere toplamda 100.000 TL idari para cezasıyla cezalandırılmasına karar verilmiştir.