Kişisel Verileri Koruma Kurulu’nun bir perakende giyim mağazasının ihlal bildirimine ilişkin 20 Ocak 2020 tarihli ve 2020/50 sayılı kararı resmi internet sitesinde yayımlandı. Yurt dışında mukim veri sorumlusunun, ihlali fark etmesinden itibaren gerekli iç incelemeleri tamamlamak adına 72 saat içerisinde ihlal bildirimi yapmamış olmasının kabul edilebilir olduğuna hükmetti.
Karara konu olayda;
- Veri ihlali, 44 müşterinin yeni hesap açarken e-posta adresi, doğum tarihi ve şifre gibi “zorunlu alan” adı altında kişisel verilerini sisteme girmeleri ve bu verilerin bir URL üzerinden üçüncü kişilere sızması suretiyle meydana gelmiştir.
- Bu veriler, veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı ve sağlayıcılara ulaşmış olup olağan bir denetimde veri sorumlusunun dikkatini çekmiştir. Veri sorumlusu yaşanan bu durumu Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirmiştir.
- Kurum’a intikal eden veri ihlal bildiriminin ardından, verilerin uygulama analizi sağlayıcısından silinmiş olduğu doğrulansa da konuya ilişkin soruşturma yürütülmüştür. Buna göre, başka URL’ler tarafından da yanlışlıkla veri toplanmış olduğu ve bu verilerin etiket sorumlusunun etiket yönetim sistemine yönlendirildiği açığa çıkmıştır.
- İhlalden sadece müşteriler değil aboneler, üyeler ve potansiyel müşteriler de olumsuz yönde etkilenmiştir. Bu kişilerin isim, soy isim verilerinin de sızmış olma ihtimali söz konusudur. Sonuç olarak, ilgili kişilere 23 Temmuz 2019 tarihinde bildirim yapılmıştır.
- 1 Ağustos 2018 ve 21 Ekim 2018 tarihlerinde gerçekleşen veri ihlallerinin tespiti 2 Temmuz 2019’da yapılmıştır. Veri ihlali sonucunda yapılan tespitler, aşağıdaki teknik tedbir eksiklikleri gerekçesiyle yaklaşık bir sene içerisinde tamamlanmıştır:
-
- Şirketin log kaydı/takip alarm sistemlerinin bulunmaması, varsa bile etkin bir şekilde kullanılmamış olması,
- Şirket tarafından gerekli kontrollerin sağlanmaması,
- Şirketin web sitesinin tasarımı sürecinde gerekli testlerin yapılmaması nedeniyle kişisel verilerin URL üzerinden aktarıldığı gerçeğinin ortaya çıkmaması.
- Bu gerekçe ile Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 12 çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusuna 50.000 TL idari para cezası kesilmesine hükmetmiştir. Ancak, 29 Mayıs 2019 tarihinde tespit edilmiş olmasına rağmen veri ihlal bildiriminin 6 Haziran 2019 tarihinde yapılmasına dair ayrıca idari para cezai öngörmemiş olup; yurt dışında mukim veri sorumlusu tarafından ihlalin tespit tarihinden sonra Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik iç inceleme yapılması gerektiği için bu sürenin makul olduğuna ve KVKK çerçevesinde yapılacak bir işlem olmadığına karar vermiştir.
Karar ile ilgili detaylara bu bağlantı aracılığıyla ulaşabilirsiniz.
