Kişisel Verileri Koruma Kurulu (“Kurul”), 9 Ağustos 2021 tarihinde dokuz yeni özet karar yayımladı:
- 2020/50 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri ihlalinin yaklaşık 1 yıl sonra tespit edilmesinin şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu, (ii) URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu, kanaatine vararak, veri sorumlusu aleyhine 50.000 TL para cezasına hükmetmiştir.
- 2020/345 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri ihlalinin, veri sorumlusu ve eski bir çalışanı ile iş ilişkisinin sonlanmasının akabinde, bu kişinin yetkisiz bir biçimde kişinin işinin ürünü olan kaynak kodu ve veri dosyalarını içeren klasörü github.com’a (GitHub) yüklemesi ile gerçekleşmesinin güvenlik açığını işaret etmesi, (ii) ihlalin gerçekleşme tarihinden 2 yıla yakın süre geçtikten sonra ihlalin tespit edildiği, (iii) çalışanın kişisel verileri de içeren dosyaları kendi taşınabilir depolama aygıtına kopyalamasının kendisine imzalatılan politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu ve (vi) veri ihlalinin süresi içerisinde bildirilmediği, hususlarını dikkate alarak 130.000 TL para cezasına hükmetmiştir.
- 2020/359 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlalin anlaşılmasını sağlayan KKB sorgulama sayısının tespit edilmesine yönelik kontrolün yıllık periyotlarla yapılıyor olması nedeniyle ihlalin 1 yıla yakın süre boyunca devam ettiği, (ii) kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi, sorgu sayısında kota uygulaması gibi kontrollerin ve düzenlemelerin ihlal sonrasında getirildiği, (iii) çalışan eğitimlerinin tamamlanmadığı ve (vi) veri ihlalinin süresi içerisinde bildirilmediği, hususlarını dikkate alarak 450.000 TL para cezasına hükmetmiştir.
- 2020/421 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) saldırganların ellerindeki elektronik posta şifre bilgilerini 14.000’den fazla IP’den bağlantı kurarak sitede denedikleri ve her denemeden sonra başka bir e-posta/şifre denemesi yaptıkları, veri sorumlusu tarafından yapılan inceleme neticesinde bu denemelerin sonucunda 2.092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığının tespit edildiği, (ii) veri sorumlusunun kendi olağan trafiğine ek bu trafiğin veri sorumlusunca fark edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta sonucunda ihlalin tespit edilebildiği, (iii) hesabına giriş yapılan 2.092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğu, hususlarını dikkate alarak 210.000 TL para cezasına hükmetmiştir.
- 2020/463 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı data domain sunucusu verilerinin silindiği, (ii) veri sorumlusu, sistemlerine düzenlenen söz konusu saldırıyı şirket çalışanlarının sistemlere erişememesi sonucu tespit ettiği, (iii) özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerektiği, hususlarını dikkate alarak 125.000 TL para cezasına hükmetmiştir.
- 2020/465 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık beş ay sonra tespit ettiği, (ii) saldırının parola püskürtme saldırısı şeklinde gerçekleştiği, bu durumun veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı, (iii) bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklandığı, hususlarını dikkate alarak 125.000 TL para cezasına hükmetmiştir.
- 2020/532 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklandığı, (ii) ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında beş günlük bir gecikmenin bulunduğu, (iii) sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiği ve veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği, hususlarını dikkate alarak 30.000 TL para cezasına hükmetmiştir.
- 2020/763 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) ihlalin ilgili kişilerin isim, soyisim ve e-posta hesaplarının sehven e-postanın konu kısmına yazılması sonucu listedeki diğer kişilerle paylaşıldığı ve ihlalden 43 ilgili kişinin etkilenmiş olduğu, (ii) ilgili kişilerin ve Kurul’un ihlale ilişkin zamanında bilgilendirilmesi, (iii) ihlalden etkilenen ilgili kişiler üzerinde ihlalin olumsuz sonuç doğurma riskinin düşük olduğu, (iv) hatalı e-posta gönderimi yapılan 400 müşteriden ihlale konu e-postanın imha edilmesinin talep edilmiş olduğu, hususlarını dikkate alarak para cezasına hükmedilmemesine karar vermiştir.
- 2020/934 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen veri ihlaline ilişkin olarak Kurul, (i) İhlalden Türkiye’den sadece iki kullanıcının etkilenmiş olduğu, (ii) ihlale ilişkin dosyanın erişimden kaldırılmadan önce yalnızca sekiz kullanıcı tarafından erişilmiş olabileceği, (iii) söz konusu sekiz kullanıcı ile görüşüldüğü tamamının gizlilik yükümlüklerini anladığını ve kabul ettiğini ve herhangi bir şifre bilgisini kullanmayacaklarını veya paylaşmayacaklarını teyit ettiği, (iv) İhlale konu olan verilerin niteliği gereği olumsuz etki doğurma olasılığının düşük olduğu, (v) İhlalden sonra ilgili platformdaki şifrelerin maskelenmesinin sağlandığı, (vi) ihlal gerçekleştikten sonra tespit edilen dosyanın veri sorumlusu tarafından ivedilikle ortadan kaldırıldığı, (vii) ihlalden etkilenen platform kullanıcılarının şifrelerinin yenilendiği ve ilgili kullanıcılara şifrelerini değiştirmeleri için bir uyarı e-postası gönderildiği, hususlarını dikkate alarak para cezasına hükmedilmemesine karar vermiştir
