“Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılmasına ilişkin” Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Karar Özeti
Kuruma ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı gerekçesi ile şikayette bulunulmuştur.
Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görülmüştür.
Veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu, dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olmuştur.
Şikayete konu kişisel veri işleme faaliyetinin Kanunun (KVKK) 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasın karar verilmiştir.
Sonuç ;
Veri sorumlu
https://kvkk.gov.tr/Icerik/7179/2022-13
“Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Karar Özeti
Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
- İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
- İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
- Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.
Sonuç;
Veri sorumlularının bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, eğer üçüncü parti firmalar ile çalışıyor ise veri sorumlularının gerekli denetim mekanizmalarını yürütmeleri gerekmektedir. Veri ihlallerinin engellenmesi noktasında sızma testleri çok büyük önem taşır ilgili kararda da sızma testinin doğru şekilde yapılamaması nedeniyle büyük çaplı veri ihlali yaşanmıştır. İhlalden etkilenen kişilerin, farklı siber tehdit aktörlerinden korunmak adına, Yemek Sepeti ve aynı parola ile giriş yaptıkları farklı uygulamalar varsa, ihlale konu olan parolalarını hemen değiştirmeleri önemlidir. Kurum ve kuruluşların idari ve teknik tedbirler noktasında gerekli önlemleri almaları, çalışma mimarilerine uygun güvenlik sistemleri kullanmaları ve bu sistemlerin yetkin kişilerce kontrol altında olması, sızma testlerini yaptırmaları idari para cezası almamaları ve sürecin doğru şekilde yürütülmesi açısından çok değerlidir.
https://kvkk.gov.tr/Icerik/7168/2021-1324
