05 Eyl, 2021

Ağustos 2021 Emsal KVKK Kararları

Şirketler tarafından gerekli kontrollerin yapılmaması, idari ve teknik tedbirlerin alınmaması nedeniyle veri ihlallerinin gerçekleştiği kararlar aşağıda şu şekilde sıralanmıştır:

“Bir perakende giyim firmasının veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 18/06/2019 tarih ve 2019/170 sayılı Karar Özeti

  • Perakende giyim firmasının uğradığı veri ihlalinde Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, şirkete 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti

Elektronik satış hizmeti sağlayan şirket içinse sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği dikkate alınarak kurul tarafından şirkete 200.000 TL idari para cezası uygulanmasına karar verilmiştir. Huzurdaki kararda sızma testi yaptırmanın önemi ve şirket içinde veri koruma ve imha politikalarının olması gerekliliği ortaya çıkmaktadır.

“Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Karar Özeti

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin, ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin (e-posta ve kısa mesaj) işlem dışı ve Banka sisteminde kayıtlı, diğer müşterilere gönderilmesi şeklinde gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) gibi kişisel verilerinin etkilendiği,

Bu ihlalin sebebinin bankanın “Notification” uygulama sisteminin hata sonucu veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için yerleştirilen kontrol mekanizmasının yeterli düzeyde olmadığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiği sonucuna varılmış. Tedbirlerin alınmaması ve parametrelerde yeterli kontrol yapılmaması nedeniyle bankaya kurul tarafından 75.000 TL idari para cezası uygulanmıştır.

Çalışanların tamamının kişisel veri koruma eğitimi almasının önemini vurgulayan bir diğer kararda kurulun “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/357 sayılı kararıdır. Bu kararda sistemlerinde tutulmakta olan isim-soyisim, iletişim, plaka bilgilerinin yer aldığı listeyi taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine 22.10.2019 ve 24.10.2019 tarihlerinde göndermesi sonucu veri ihlali gerçekleştiğinin tespit edildiği, veri sızıntısı önleme uygulamasının, belirli anahtar kelimeleri yakalamak üzere kurgulandığı ancak veri sızıntısına konu olan ihlal, bu anahtar kelimeleri içermediğinden herhangi bir uyarının oluşmadığı değerlendirildiğinde kurul tarafından şirkete 90.000 TL idari para cezası uygulanmıştır.

“Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/530 sayılı Karar Özetinde ise ;
Çalışanın yüksek miktarda sorgu yapmasının sınırlanmaması nedeniyle 1.052 kişi için 10.529 adet KBB sorgulaması gerçekleşmiş, gerçekleştirilen sorgulamalar sırasında 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soy isim bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin etkilenmiş olduğu belirtilmiş.
Veri sorumlusunca verilen  “Kişisel Verilerin Korunması Kanunu Eğitimi’nin yeterli olmadığı gerekçesiyle kurul tarafından 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Bir oyuncak perakendecisi veri sorumlusunun veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/567 sayılı Karar Özetinde ;

  • Kişisel hesaplara erişim hususunda veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerekmekte olup veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini (SMS/Captcha) veri ihlali sonrasında yayına almayı planladığı dikkate alındığında veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığı,
  • İhlalden etkilenen ilgili kişilerin hesaplarının şifreleri incelendiğinde müşteriler tarafından kullanılan şifrelerin sadece rakamlardan ya da sadece harf dizilerinden oluşabildiği, müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı,
  • Veri sorumlusu nezdinde gerçekleşen ihlal sırasında web uygulama güvenlik duvarının (WAF) yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği dikkate alındığında veri sorumlusunun uygulama güvenliğini sağlayamadığı gerekçesi ile 75.000 TL idari para cezası uygulandığı görülmüştür.

Veri sorumlularının müşterilere güçlü şifre oluşturmaları için zorlamalarının önemine dikkat çeken bu karar emsal niteliğindedir. Veri sorumlularının iki faktörlü güvenlik önlemlerinin yanı sıra kimlik doğrulama ve güçlü şifre gibi önlemler de almaları gerekmektedir.

“Bir e-ticaret şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı kararında ;

Veri sorumlularınca kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığı dikkat çekmiş ve Web uygulaması güvenlik duvarı” [WAF (Web Application Firewall)] üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra alındığı değerlendirilmelerinden sonra 165.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Bir perakende giyim firmasının veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 20/01/2020 tarih ve 2020/50 sayılı Karar Özeti

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu, kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Karar Özeti

Yayınlanan bu karar özetinde ,

Çalışan herkesin kişisel veri güvenliğince ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi,
Çalışanların farkındalığının yüksek olması,
Oluşturulması gereken kurum kültürünün “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun şekilde düzenlenmesinin gerektiğini sonuçlarına varılmıştır.
Çalışanların kişisel verilerin korunması hukuka aykırı şekilde paylaşılmaması gibi konular hakkında eğitim almaları veri ihlallerinin engellenmesi noktasında büyük önem taşır.

Kaldı ki huzurdaki kararda ;
Personele veri sorumlusunun çok sayıda politikasının imzalatıldığının veri sorumlusu tarafından beyan edilmiş olmasına rağmen söz konusu çalışanın kişisel verileri de içeren dosyaları kendi taşınabilir depolama aygıtına kopyalamasının politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu belirtilmiştir.

Veri ihlalinin, veri sorumlusu ve eski bir çalışanı ile iş ilişkisinin sonlanmasının akabinde, bu kişinin yetkisiz bir biçimde kişinin işinin ürünü olan kaynak kodu ve veri dosyalarını içeren klasörü github.com’a (GitHub) yüklemesi ile gerçekleştiği, eski çalışanın kaynak kodları da github.com internet sitesine yüklemiş olmasının bir güvenlik açığı olduğu, bu kaynak kodların yetkisiz üçüncü kişiler tarafından analiz edilerek başka güvenlik açıklıklarına sebebiyet verebileceği

İhlalin gerçekleşme tarihinin 19.04.2017, tespit tarihinin 09.01.2019, Kuruma bildirim tarihinin ise 28.02.2019 tarihi olduğu, aradan 2 yıla yakın süre geçtikten sonra 09.01.2019 tarihinde ihlalin tespit edilmesinin güvenlik kontrollerinin düzenli olarak yapılmadığı tespit edilmiş. Veri sorumlusuna gerekli idari ve teknik tedbirleri almadığı için 100.00 TL , en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket ettiği için de 30.000 TL olacak şekilde 130.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili 2 kararda veri sorumlularının sorumluluklarını yerine getirmemesi nedeniyle çok ağır cezalar alındığı görülmektedir.
Veri sorumlularının içeriden ya da dışarıdan gelen saldırılar ve siber suçlarla mücadele etmeleri için;

1-Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
2-Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
3-Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
4-Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
5-Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.
Bunlara ek olarak idari ve teknik tedbirleri geç olmadan almaları zorunludur.

“Bir bankanın veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/359 sayılı Karar Özeti

Veri sorumlusu bankanın eski çalışanın 5695 TC kimlik sorgusu yaptığı, bu sorguların 2028’inin Banka müşterilerine ait olduğu 2851’inin Banka müşterisi olmadığı,
Veri ihlalinin ancak 1 yıla yakın süre sonra tespit edilebilmesi,
Veri sorumlusu tarafından ihlal öncesi yapılması gereken; kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi gibi kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının ihlalin öncesinde ilgili idari ve teknik tedbirlerin yeterince alınmadığının göstergesi olduğu,
Veri ihlali sonrasında 250 üzerinde sorgulama yapan kullanıcılarının kamera kayıtları incelenerek veri ihlali oluşturacak bir durum kontrol edilse de ihlal öncesi böyle bir kontrol ve sınırlama yapılmaması,
Veri sorumlusuna ait çalışanların %86’sının eğitim almalarına rağmen kalanlarına tevsik edici belge gönderilmemesi, hususları dikkate alındığında kurul tarafından 400.000 TL idari para cezası uygulanmasına

Veri ihlalinden etkilenen 5695 kişi arasında sadece Bankada iletişim bilgileri bulunanlara veri ihlal bildiriminde bulunulduğu, bu kapsamda ilgili kişilerin tamamına bildirimde bulunmak adına makul çaba sarf edilmediği ve Kurum tarafından talep edilmesine rağmen ihlalin bildirildiği kişi sayısının ve bu kişilerin Banka müşterisi olup olmadığına hususlarına dair Kuruma bilgi verilmediği hususları uyarınca 50.000 TL idari para cezası uygulanmasına ;toplam 450.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/421 sayılı Karar Özeti

  • İhlalin 04.03.2020 tarihinde meydana geldiği, anılan kişi veya kişilerin ellerindeki elektronik posta şifre bilgilerini 14.000’den fazla IP’den bağlantı kurarak sitede denedikleri ve her denemeden sonra başka bir e-posta/şifre denemesi yaptıkları,
  • Veri sorumlusu tarafından yapılan inceleme neticesinde bu denemelerin sonucunda 2092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığı,
  • İhlalden veri sorumlusu müşterilerine ait ad-soyad, e-posta, cep telefonu, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilendiği,hususları dikkate alındığında kurul tarafından 210.000 TL idari para cezası uygulanmasına karar verilmiştir.

“İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı Karar Özeti

Özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerekir.

Veri sorumlusunun, sunucularının yedek dosyalarının depolandığı Data Domain sunucusunda yer alan verilerinin de silinmesinin, Kişisel Veri Güvenliği Rehberi 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında; “…veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir. Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir…”ifadelerine aykırılık teşkil ettiği hususları dikkate alındığında kurul tarafından 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Teknolojinin içinde kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi;

Parola püskürtme saldırıları, çok sayıdaki hesaba zayıf olarak nitelendirilen parolalar kullanarak erişen kullanıcıların, parolalarının saldırganlar tarafından şifre tahmini yöntemiyle ele geçirilmesi şeklinde gerçekleştiği,
Bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklanması sebebiyle olduğu ,
Şirketin 75.000 TL idari ceza almasının yanı sıra 72 saatlik bildirime uymaması suretiyle 55 gün sonra bildirim yaptığı gerekçesiyle ek olarak 50.000 TL ceza aldığı toplamda 125.000 TL idari para cezası alması uygulanmasına karar verilmiştir.

Veri ihlallerinin çok yoğun olduğu bu dönemde şirketlerin KVKK’nın 12.maddesinin 5 numaralı fıkrasının “en kısa sürede bildirimde bulunma” yükümlülüğüne göre hareket etmeleri gerekmektedir.

“Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağladığına ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılmasına ilişkin ihbarlar hakkında” Kişisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Karar Özeti

  • 2004 sayılı İcra ve İflas Kanununun 85 inci maddesi çerçevesinde borçlunun kendi veya üçüncü kişi nezdindeki alacaklarına haciz konulabileceği, 2004 sayılı Kanunun 8/a ve 78 nci maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla alacaklı tarafından borçluların mal, hak veya alacaklarının sorgulanabileceği, avukatların müvekkillerinin alacağını tahsil etmek amacıyla 1136 sayılı Avukatlık Kanununun 46 ncı maddesi uyarınca dava ve icra takibi dosyalarını vekâletname sunmaksızın inceleyebileceği ve bu kapsamda 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde düzenlenmiş işlemenin “kanunlarda açıkça öngörülmesi” şartına dayanılarak alacaklı vekili avukatlar tarafından borçlunun alacaklı olduğu icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden avukatların vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim sağladığı iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • 1136 sayılı Avukatlık Kanununun 2 nci maddesinde ilgili makamların avukatların görevlerini yapmak üzere ihtiyaç duyduğu bilgi ve belgeleri avukatların incelemesine sunmakla yükümlü olduğunun düzenleme altına alındığı ve bu kapsamda 6698 sayılı Kanunun 8 inci maddesinin üçüncü fıkrasında düzenlenmiş “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi uyarınca Adalet Bakanlığı tarafından icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu icra dosyaları hakkında bilgi ve belge sağlama amacıyla avukatlara görevlerini yerine getirebilmeleri için kişisel veri aktarımı yapılabileceğinden Adalet Bakanlığı tarafından alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Kararlar göstermektedir ki ; kurum ve kuruluşlar tamamen faaliyetlerini teknoloji üzerine yürütseler de hala veri ihlalleri ile karşılaşabilmektedirler. Bunların hepsi göz önüne alındığında verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri uygulamaya konulmalıdır.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram