Kişisel Verileri Koruma Kurulu (“Kurul”), 2 Ağustos 2021 tarihinde 11 yeni özet karar yayımladı:

  • 2019/170 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri ihlallerinin tespitinin yaklaşık bir yıl sonra yapılmış olmasının, gerçekleştirilen işlemlere dair şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve gerekli kontrollerin yapılmadığının göstergesi olduğu, (ii) URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu, kanaatine vararak veri sorumlusu aleyhine 50.000 TL para cezasına hükmetmiştir.
  • 2020/113 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, (ii) sızma testlerinin ihlalden sonra yapıldığı, (iii) ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek zafiyetlerin bulunduğu, (iv) mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, (v) politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, (vi) veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve (vii) veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği, hususlarını dikkate alarak 200.000 TL para cezasına hükmetmiştir.
  • 2020/201 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlalin, ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin diğer müşterilere gönderilmesi şeklinde gerçekleştiğini, (ii) ihlale konu olayda teknik anlamda, kullanılması gereken fonksiyon ve metodun doğru kullanılmasına rağmen parametrelerde yeterli kontrol konulmadığının anlaşıldığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiğini, dikkate alarak 75.000 TL para cezasına hükmetmiştir.
  • 2020/357 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri sorumlusunun sisteminde tutulmakta olan 91 müşteriye ait isim-soyisim, iletişim, plaka bilgilerinin yer aldığı listeyi taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine göndermesi sonucu veri ihlali gerçekleştiği, (ii) söz konusu ihlalin veri sızıntısı önleme uygulaması kullanılması hâlinde önlenebileceği, (iii) veri ihlali öncesinde veri ihlali ile ilgili çalışanların tamamının kişisel veri koruma eğitimi almadığı, hususlarını dikkate alarak 90.000 TL para cezasına hükmetmiştir.
  • 2020/530 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlale sebebiyet veren personelin 1 Ocak 2019-5 Aralık 2019 tarihleri arasında 1.052 kişi için 10.529 adet KKB sorgulaması gerçekleştirdiği ve söz konusu sorgulamalara ilişkin makul bir açıklama olmadığı, (ii) personelin müşterilere ilişkin bilgileri banka dışına sızdırmış olabileceği yönünde şüphe oluştuğu, (iii) ihlal öncesinde veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı, (iv) durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmadığı, hususlarını dikkate alarak 200.000 TL para cezasına hükmetmiştir.
  • 2020/567 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini veri ihlali sonrasında yayına almayı planladığı, (ii) müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı, (iii) veri sorumlusu nezdinde gerçekleşen ihlal sırasında web uygulama güvenlik duvarının (WAF) yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği, hususlarını dikkate alarak 75.000 TL para cezasına hükmetmiştir.
  • 2020/715 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu, (ii) Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, (iii) Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığı, (iv) Web uygulaması güvenlik duvarı üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlalinden sonra alındığı, hususlarını dikkate alarak 165.000 TL para cezasına hükmetmiştir.
  • 2020/816 sayılı Karar Özeti: Veri sorumlusu teknoloji şirketi nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlalden 1 kişiye ait kişisel verilerin etkilendiği, (ii) ilgili kişiye telefon yoluyla bildirim yapıldığı, (iii) ihlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının düşük olduğu, (iv) ihlale konu e-postanın silinmesinin sağlandığı, (v) veri sorumlusunun ihlale kısa zamanda müdahale ettiği, hususlarını dikkate alarak para cezasına hükmedilmemesine karar vermiştir.
  • 2020/935 sayılı Karar Özeti: Veri sorumlusu sigorta şirketi nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlalden 1 kişiye ait kişisel verilerin etkilendiği, ilgili kişiye telefon yoluyla bildirim yapıldığı, (ii) ihlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının düşük olduğu, (iii) ihlale konu e-postanın silinmesinin sağlandığı, (iv) veri sorumlusunun ihlale kısa zamanda müdahale ettiği, hususlarını dikkate alarak para cezasına hükmedilmemesine karar vermiştir.
  • 2020/957 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiği, (ii) ihlalin, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluştuğu, (iii) ihlalin, gerçekleşmesinden 13 dakika sonra tespit edildiği, gerçekleşmesinden 2 saat sonra ise sonlandırıldığı, (iv) ihlalin olumsuz etki doğurma olasılığının düşük olduğu, (v) ihlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı, (vi) ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı, hususlarını dikkate alarak para cezasına hükmedilmemesine karar vermiştir.
  • 2021/511-512-513 sayılı Karar Özetleri: İşbu karar, avukatların icra dosyalarında yer alan borç bilgilerine ve diğer kişisel verilere hukuka aykırı olarak eriştiğine yönelik bir şikayet çerçevesinde ihdas edilmiştir. Avukatların mahkemeler ve icra müdürlükleri nezdindeki dosyalara erişim hakkı doğrudan 1136 sayılı Avukatlık Kanunu ile düzenlendiğinden Kurul, ilgili şikayet kapsamında yapılacak bir işlem bulunmadığına ve avukatlar tarafından ilgili dosyalara erişimin hukuka uygun olduğuna karar vermiştir.