Güncel BilgilerKişisel Verileri Koruma Kurulu, Bir Sigorta Şirketinin Kişisel Veri İhlal Bildirimi Hakkındaki 2020/905 sayılı Kararını Açıkladı.

9 Şubat 2021

Kişisel Verileri Koruma Kurulu (“Kurul”), bir veri sorumlusu sigorta şirketinin (“Veri Sorumlusu”) veri güvenliğini sağlamaya yönelik gereken teknik ve idari tedbirleri almamasına ve veri ihlali bildirimi yükümlülüğünü gereği gibi yerine getirmemesine ilişkin 24.11.2020 tarihli ve 2020/905 sayılı Kararı (“Karar”) verdi.

Veri Sorumlusunun sunduğu veri ihlal bildiriminde, (i) veri ihlalinin internet sitesinin bulunduğu test sunucusunun siber saldırıya uğraması neticesinde gerçekleştiği ve aynı gün fark edildiği; (ii) internet sayfasının kullanıcı girişi ekranına belli aralıklarla, birden çok kez ve yurt dışından yapılan giriş denemelerinin fark edilmediği; (iii) ihlal esnasında kişisel verilerin bulunduğu veri tabanının silindiği, yerine fidye taleplerinin yerleştirildiği, (iv) söz konusu veri tabanının silinmeden önce kopyalanmış olabileceği ve (v) ihlalden etkilenen ilgili kişi sayısının 311, ihlalden etkilenen kişisel verilerin T.C. kimlik numarası, isim, soy isim, e-posta, plaka bilgisi olduğuna ilişkin bilgiler verilmiştir.

Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesinin 1. fıkrası uyarınca veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler alınması çerçevesinde Veri Sorumlusu yönünden;

  • Veri ihlalinin gerçekleştiği test sunucusunun periyodik sızma testleri kapsamına alınmadığını ve bunun gerekli kontrollerin yapılmadığını gösterdiğini;
  • Veri Sorumlusu tarafından bir Veri Güvenlik ve Veri İhlali Prosedürü hazırlanmışsa da burada belirtilen kontrollerin sağlanmadığını;
  • Test sayfasının tüm dünyadan ulaşılabilir olduğu ve kullanılan parolaların yeterince karmaşık ve güçlü olmadığını;
  • İhlalden sonra test sunucusundaki test işlemlerinin kişisel verilerin kaydedilmesinden önce yapılmasının mümkün olduğu göz önüne alınarak, veri ihlali öncesinde de bu teknoloji kullanılsaydı kişisel verilerin güvenliğinin tehlikeye atılmamış olacağını;
  • Test sunucusuna erişimde güvenli iletişim sağlamaya yönelik yöntemlerin ve ek güvenlik katmanı olarak güçlü kimlik doğrulama yöntemlerinin kullanılmadığını,
  • İhlalden etkilenen kişisel veriler arasında ilgili kişiler için önem arz eden T.C. kimlik numarası olduğunu, önemli kişisel verilerin şifrelenerek gizlilik derecesine göre muhafaza edilmesinin veri ihlalinin olumsuz etkilerini azaltacağı halde Veri Sorumlusu tarafından yeterli özenin gösterilmediğini,

tespit etmiştir.

Bu değerlendirmelere istinaden Kurul, KVKK’nın 12. maddesinin 1. fıkrası uyarınca veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler alınmamasına istinaden, KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca Veri Sorumlusuna 300.000,- TL idari para cezası uygulanmasına karar vermiştir.

Kurul ayrıca, Veri Sorumlusunun KVKK’nın 12. maddesinin 5. fıkrasında düzenlenen veri ihlali bildirimi yükümlülüğü çerçevesinde;

  • 24.01.2019 tarihli ve 2019/10 sayılı Kurul Kararı ile veri ihlalinin öğrenilmesinden itibaren 72 saat olarak belirlenen süre içinde Kişisel Verileri Koruma Kurumuna (“Kurum”) veri ihlal bildiriminde bulunmadığını;
  • İhlalden etkilendiği tespit edilen ilgili kişilere 18.09.2019 tarihli ve 2019/271 sayılı Kurul Kararına uygun olarak bildirim yapılmadığını, Veri Sorumlusunun internet sitesinden yapılan duyurunun kimliği tespit edilmiş ilgili kişilere bildirim olarak kabul edilemeyeceğin

değerlendirmiştir.

Kurul, söz konusu değerlendirmelerine istinaden, Veri Sorumlusunun Kuruma ve ilgili kişilere uygun şekilde bildirimde bulunmadığına kanaat getirmiş ve KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca Veri Sorumlusuna 30.000,- TL idari para cezası uygulanmasına karar vermiştir.

Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/Icerik/6862/2020-905