Sputnik’in haberine gรถre Adalet Bakanlฤฑฤฤฑ bรผnyesinde hizmet veren KVKK, kiลisel verileri amacฤฑ dฤฑลฤฑnda kullananlara ceza yaฤdฤฑrฤฑyor. Bir bankanฤฑn รงalฤฑลanฤฑ, 346 mรผลteriye ait kiลisel bilgileri yatฤฑrฤฑm firmasฤฑnda รงalฤฑลan arkadaลฤฑna iletti. Bankanฤฑn Veri Sฤฑzฤฑntฤฑsฤฑ ekibi veri ihlal bildirimini KVKKโya aktardฤฑ.
Yรผrรผtรผlen soruลturmada; รงalฤฑลanฤฑn 346 mรผลteriye ait bilgilerini iลlediฤi ve sรถz konusu dokรผmanฤฑ e-posta ile bir yatฤฑrฤฑm firmasฤฑnda รงalฤฑลtฤฑฤฤฑnฤฑ ve arkadaลฤฑ olduฤunu iddia ettiฤi 3. kiลiye gรถnderdiฤi tespit edildi.
Sรถz konusu mรผลterilerin hepsinin bir yatฤฑrฤฑm ลirketine para transferlerinin bulunduฤu, ihlalden etkilenen kiลisel veri kategorilerinin kimlik, iletiลim, mรผลteri iลlem ve finans verileri olduฤu ortaya รงฤฑktฤฑ. Verileri paylaลฤฑlan mรผลterilerin ihlale sebebiyet veren รงalฤฑลanฤฑn iliลkili olduฤu ลubenin mรผลterileri olmadฤฑฤฤฑ, bu nedenle รงalฤฑลanฤฑn verileri toplamasฤฑ ve paylaลmasฤฑnฤฑn mesnedinin bulunmadฤฑฤฤฑ belirtildi.
Yapฤฑlan incelemede; ihlalden 346 banka mรผลterisinin ลube numarasฤฑ, hesap numarasฤฑ, ad-soyadฤฑ, cep telefonu numarasฤฑ ve bu mรผลterilerin bankadaki hesaplarฤฑndan bir yatฤฑrฤฑm firmasฤฑ hesabฤฑna gรถnderdikleri yatฤฑrฤฑm iลlemi tutar bilgilerinin etkilendiฤi tespit edildi. ฤฐhlal ile ilgili olan personelin veri ihlalinin gerรงekleลmesinden 1 seneyi aลkฤฑn sรผre รถnce 09.10.2018 tarihinde โKiลisel Verilerin Korunmasฤฑ Kanunuโ eฤitimini tamamlamฤฑล olmasฤฑna raฤmen, bahse konu eฤitimden sonra bizzat ihlali gerรงekleลtirmiล olmasฤฑnฤฑn verilen eฤitimin yeterli ve etkin olmadฤฑฤฤฑ hususunda ลรผphe oluลturduฤu belirlendi.
Banka dฤฑลฤฑna giden e-postalara iliลkin Veri Sฤฑzฤฑntฤฑsฤฑ Tespit/รnleme Sisteminin mevcut olduฤunun belirtilmesine raฤmen sรถz konusu ihlale neden olan e-postanฤฑn DLP sistemleri tarafฤฑndan engellenmemesine dikkat รงekildi. Kurul kararฤฑnda ลu ifadelere yer verildi:
โ’Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalฤฑdฤฑr’ ifadeleri uyarฤฑnca yetkisiz olarak kiลisel veri aktarฤฑmฤฑ รถnleme aรงฤฑsฤฑndan veri sorumlusunun almฤฑล olduฤu tedbirlerin yetersiz kaldฤฑฤฤฑ anlaลฤฑlmaktadฤฑr. Veri gรผvenliฤini saฤlamaya yรถnelik veri sorumlusunun almฤฑล olduฤu teknik ve idari tedbirlerin yetersiz kaldฤฑฤฤฑnฤฑn gรถstergesi olduฤu dikkate alฤฑndฤฑฤฤฑnda, veri gรผvenliฤini saฤlamaya yรถnelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkฤฑnda kabahatin haksฤฑzlฤฑk iรงeriฤi, veri sorumlusunun kusuru ve ekonomik durumu da gรถz รถnรผnde bulundurularak Kanunun 18(1)(b) bendi kapsamฤฑnda 225 bin TL, ilgili kiลilere gerekli bildirimlerin yapฤฑldฤฑฤฤฑ ve sรถz konusu bildirim รถrneklerinin tarafฤฑmฤฑza gรถnderildiฤi ortadadฤฑr. Kurumumuza bildirimin geรง yapฤฑlmasฤฑ sebebiyle veri ihlalinin รถฤrenilmesinden itibaren baลlayan 72 saatlik sรผre iรงerisinde bildirim koลulunun saฤlanmadฤฑฤฤฑ dikkate alฤฑndฤฑฤฤฑnda, (Kurul kararฤฑnda belirtilen 72 saatlik sรผre iรงerisinde) bildirimde bulunma yรผkรผmlรผlรผฤรผne aykฤฑrฤฑ hareket etmesi nedeniyle veri sorumlusu hakkฤฑnda Kanunun 18 (1)(b) bendi uyarฤฑnca 50 bin TL olmak รผzere toplam 275 bin TL idari para cezasฤฑ uygulanmasฤฑna karar verilmiลtir.โ
