Kişisel Verileri Koruma Kurulu, 3 yeni karar özeti yayımladı

0
36

KVK Kurulu, 23 Haziran günü web sitesinde üç yeni karar özeti yayımladı. Faktoring şirketleri, bir oyun şirketi ve bir banka hakkında verilen kararlara kısaca değinmek gerekire:

Risk merkezindenki verilerin muhtelif faktoring şirketlerince ihlal edilmesine ilişkin karar

Türkiye Bankalar Birliği bünyesinde faaliyet gösteren Risk Merkezi nezdinde üyeler tarafından yapılan bazı sorgulamaların yetkisiz kişilerce paylaşıldığının ve amaç dışı kullanıldığının gelen ihbar ile tespiti üzerine KVK Kurulu tarafından yapılan inceleme sonucunda 03.03.2020 tarihinde 4 ayrı faktoring şirketi hakkında toplam 1.400.000 TL idari para cezası uygulanmasına karar verildi.

Kurul, ismini açıklamadığı 4 faktoring şirketi hakkında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığı gerekçesiyle toplam 950.000 TL ve ayrıca süresinde veri ihlali bildiriminde bulunulmadığı gerekçesiyle yine toplam 450.000 TL idari para cezası uygulanmasına karar verdi.

Bir oyun şirketinin veri ihlal bildirimi hakkında Kurul kararı

KVK Kurulu, ismini açıklamadığı bir oyun şirketi hakkında veri güvenliğini sağlamaya yönelik tedbirleri almadığı ve süresinde ihlal bildiriminde bulunmadığı gerekçesiyle 1.100.000 TL idari para cezası uygulanmasına karar verdi.

Kararda, hacker’lar tarafından şirketin sunucularına hukuka aykırı olarak girildiği ve Türkiye’den 39.995 kullanıcının isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı gibi kişisel verilerine erişim sağlandığı görülmekte.

Kurul, güvenlik ajanının ağ sistemine konuşlandırılması, kötü niyetli IP adreslerinin sistemden engellenmesi, oyuncu hesaplarının yetkisiz erişimlerden korunması için gerekli önlemlerin alınması, hackerlar tarafından kullanılan mekanizmaların ve IP’lerin gözlenmesi için 7×24 gerçek zamanlı gözetleme sistemini de içeren, geliştirilmiş gözetleme ve alarm sistemlerinin faaliyete geçirilmesi gibi tedbirlerin ihlalden önce değil de ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğunu belirtti.

Veri güvenliğine ilişkin teknik tedbirlerin alınmaması nedeniyle 1.000.000 TL, süresinde ihlal bildiriminde bulunmaması nedeniyle de 100.000 TL idari para cezası uygulanmasına karar verildi.

Bir bankanın veri ihlal bildirimi hakkında Kurul kararı

Kurul, Risk Merkezi nezdinde şüpheli sorgulamalar yapılan, ismini açıklamadığı bir banka hakkında gerekli teknik tedbirleri almadığı gerekçesiyle 1.000.000 TL idari para cezası uygulanmasına karar verdi.

Yapılan incelemede banka çalışanı 3 kişinin, yetkili olduğu ekranlardan sorgulama yaparak 17.582’si banka müşterisi, 7.706’sı ise banka müşterisi olmayan toplam 25.288 kişinin bireysel nitelikteki kredi bilgilerine eriştiği ve bu sorgulamalara 18 ay boyunca devam edildiği ve bunun da veri sorumlusu tarafından güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmediğinin göstergesi olduğu değerlendirildi.

Ayrıca teknik ve idari tedbirlere ilişkin rehberde “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında yer alan idari tedbirlerde eksiklik bulunduğuna vurgu yapılan kararda veri sorumlusunun, gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığı değerlendirilerek, idari para cezası uygulanmasına karar verildi.