Selen IBRAHIMOGLU GURES Attorney at Law / Managing Partner
Öykü DALGIÇ Avukat
[email protected]
08 Temmuz 2021
A-
A+
1. Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında 27/04/2021 tarihli ve 2021/426 sayılı Karar
E-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme sırasında e-ticaret sitesindeki partner firmaya yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların açtıkları bildirimlere erişim sağlaması söz konusu olmuştur. Bu husus partner firma tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilmiştir.
Yardım masası paneli hizmeti veren veri sorumlusunun ifadesini içeren tutanakta;
Yardım masası panelinin veri sorumlusunun kendisi tarafından kurulan ve yönetilen bir platform olduğu ve asıl veri sorumlusunun yazılım hizmetiyle ilgili bakım ve destek hizmeti sağladığı, diğer veri sorumlularının ise sınırlı erişime sahip olduğu ve doğrudan değişiklik yapamadığı değerlendirilmiştir.
İhlal ile ilgili 3 veri sorumlusu tarafından veri ihlal bildiriminde bulunulmuş. Bildirimde bulunmayan 10 veri sorumlusu hakkında ise Kurum tarafım resen inceleme başlatılmasına karar verilmiştir.
A. Kurul teknik ve idari tedbirler açısından yaptığı inceleme sonucunda;
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12/1 çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurarak (ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği), 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.
B) Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak;
Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alınarak Madde 12/5 kapsamında 72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği ve veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kurul tarafından 100.000TL idari para cezasının uygulanmasına karar verilmiştir.
C) Kuruma bilgi ve belge gönderimi kapsamında ise;
Madde 15/3’te yer alan,“Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü çerçevesinde Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda bu veri sorumlularının talimatlandırılmasına karar verilmiştir.
E-ticaret sitesindeki (veri sorumlusu) partner firmanın, sitedeki müşteri hizmetleri paneli üzerinden üçüncü kişi firmaların bilgilerine erişmesiyle yaptığı ihbar kapsamında Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından resen inceleme başlatılmıştır.
Partner firma Kurum’a iletmiş olduğu yazıda:
Veri sorumlusu veri ihlaliyle ilgili vermiş olduğu cevabında,
ifade etmiştir.
A) Teknik ve idari tedbirler kapsamında yapılan inceleme neticesinde;
Kanunu’nun 12/1 numaralı fıkrasında kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak, 600.000 TL idari para cezası uygulanmasına,
B) Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak yapılan incelemede sonucunda;
hususları dikkate alınarak madde 12/5 kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına;
Kanuna uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
İlgili kişi Kuruma iletmiş olduğu şikayetinde özetle; işvereni tarafından verilen yemek kartına ait hesap hareketlerinin tarafına iletilmesini veri sorumlusu Şirketten talep etmiş olduğunu, bu talebi üzerine veri sorumlusu tarafından ilgili kişi tarafından istenilen bilginin sağlanması için ilave bilgiler talep edildiği, ilave bilgilerin veri sorumlusuna (dilekçe ve kimlik ) e-posta ile iletildiği ancak ek güvenlik önlemi gerekçesiyle ekte paylaşılan dokümana erişebilmek için e-postadaki cep telefonu numarasının aranması gerektiği veri sorumlusu tarafından ifade edilmiş olduğundan ilgili kişi getirilen bu ek güvenlik önleminin hukuka aykırı olduğu ve şahsına ait verilere erişmesinin engellendiğini iddia ederek Kurum’dan Kanun kapsamında gereğinin yapılmasını talep etmiştir.
Veri sorumlusu savunmasında;
Kurul yaptığı incelemede;
Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kişisel verilerini içeren dosyanın alt yapısı yurtdışında olan “gmail” hesabına gönderileceği için bunların şifrelenerek gönderilmesi ile veri güvenliğinin en üst düzeyde sağlanmasının amaçlanmış olduğunu ifade ederek ve Google firmasına ait G-mail altyapısının kullanılması durumunda e-postaların dünyanın çeşitli yerlerindeki veri merkezlerinde tutulması söz konusu olacağından veri sorumlusunun aldığı ek tedbirlerin Kanuna aykırılık değil, kanunun titizlikle uygulanması olduğu sonucuna varmıştır.
Tüm bu değerlendirmelerinden hareketle Kurul ;
İlgili kişinin madde 11/1-b bendi doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine madde 12/1-b bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine kanaat getirdiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.
Yayınlara dön