ICO’nun kendi internet sitesinde yer alan habere göre; İngiltere merkezli havayolu şirketi British Airways rekor bir cezayla karşı karşıya. Ofis, şirket için tam 183.39 milyon sterlinlik bir ceza istediğini Londra Menkul Kıymetler Borsasına bildirmiş durumda. Bu tutar şirketin yıllık cirosunun yüzde 1.5’lik kısmına denk geliyor.
Söz konusu cezanın nedeni ise; İlk olarak 6 Eylül 2018 de British Airways’in ICO’ya bildirdiği güvenlik ihlali olayı. Şirket internet sitesi ve telefon uygulaması üzerinden 380 bin müşterisinin kişisel ve finansal bilgilerini çaldırmıştı. ICO ise güvenlik ihlalinin Haziran 2018 de başladığına ve şirketin zayıf güvenlik önlemleri nedeniyle müşterilerinin bilgilerini çaldırdığına inanıyordu. Bu inanç doğrulanmış olacak ki verilen cezanın nedeni de şirketin müşterilerinin bilgilerini korumak için yeterli güvenlik önlemi almamış olması.
Ceza henüz kesinleşmemiş durumda. Şirketin söz konusu ceza için 28 günlük itiraz süresi bulunuyor. Ne var ki ceza şu an için kesin olmasa bile tüm dünyada büyük bir şok yarattığı bir gerçek. Çünkü bugüne kadar ICO tarafından verilmiş en yüksek ceza 500 bin pound ile Facebook’a ait.
Cambridge Analytica skandalı olarak bilinen olayda Facebook, dünya genelinde 50 milyon kullanıcısının kişisel verilerini usulsüzce 3. partilerle paylaşmış, bunların en az 1 milyonunun İngiltere vatandaşı olması nedeniyle ICO tarafından 500 bin pound cezaya çarptırılmıştı.
25 Mayıs 2018 tarihine kadar Avrupa’ da kişisel verilerin ihlali kapsamında verilebilecek en yüksek ceza 500 bin pound olarak belirlenmişti. Bu tarihte yürürlüğe giren yeni GDPR ile kişisel veri koruma şartlarına uymayan şirketlere verilen cezalar, söz konusu şirketin yıllık cirosunun %4 üne ya da 20 milyon Euro’ya kadar olabiliyor (hangi miktar daha büyükse). Yani British Airways için teklif edilen, cirosunun %1.5′ ine denk gelen cezanın, maksimum seviyenin oldukça altında olduğu da söylenebilir.
Yine de verilen cezalardan daha önemli olabilecek bir durum var. Facebook gibi milyarlarca dolar değerindeki bir şirket için kendisine verilen 500 bin pound değerindeki ceza okyanustaki bir su damlası olarak düşünülebilir. Fakat şirket, ceza sonrası yaklaşık 50 milyar dolarlık değer kaybı yaşamıştı. Buna bir de kullanıcı güvenini ekledigimizde rakam çok daha büyüyor. Bu da kişisel veri güvenliği öneminin sadece verilen cezalarla ölçülemeyeceğinin bir göstergesi.
ICO’nun son kararıyla beraber, kişisel veri güvenliğinin ne kadar önemli olduğu tüm dünyada şok etkisiyle anlaşılmış oldu. Ülkemizde de 2016 yılında çıkmış olan ve Avrupa’daki GDPR’nin karşılığı sayılan Kişisel Verileri Koruma Kanunu (KVKK) kapsamında son dönemdeki cezalara baktığımızda da bunu görüyoruz. Kurul yeterli güvenlik önlemi almayan ve müşterilerinin kişisel verilerinin kanuna aykırı şekilde ele geçirilmesine yol açan Facebook için toplamda 1.650.000 TL, Marriot International için toplam 1.450.000 TL ve Cathay Pasific için toplam 550.000 TL olmak üzere 3 ceza kararını ardı ardına yayınladı.
Kişisel veri işleyen her kuruluşun KVKK kapsamındaki yükümlülüklerini yerine getirme zorunluluğu olduğunu hatırlatmak isteriz. Tüm sorularınız ve ihtiyaçlarınız için bize ulaşabilir, KVKK kapsamındaki 3 disiplini (Siber güvenlik-Hukuk-Yönetişim) bir arada sunan uçtan uca hizmetlerimizden yararlanabilirsiniz.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.