Turkey: Kişisel Verileri Koruma Kurumu'nun Üç Yeni Kararı Yayınlandı

Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum") 3 Temmuz 2019'da üç adet yeni karar yayımladı. Yayımladığı kararlarla Kurum, veri ihlali durumlarında izleyeceği yolla ilgili sektöre ışık tutmuş oldu.

Kararlarda Neler Var?

Kurum'un ilk kararı taşımacılık ve ulaşım sektöründe olan bir şirkete ilişkin olarak verildi. Kararda veri ihlali nedeniyle Türkiye'de yerleşik 67,519 kişinin kişisel verilerine ulaşıldığı belirtildi. İhlal sonucu yetkisiz ulaşım sağlanan kişisel veriler arasında cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi, cep telefonu numarası, e-posta adresi, ödeme anahtarı ve ulaşım bilgileri bulunmakta. Kurum ihlalin iki ay boyunca devam etmesinin veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğunu ve yetkisiz kişi veya kişilerin Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğuna karar vermiştir. Sonuç olarak şirket hakkında gerekli teknik ve idari ve tedbirler alınmadığı için 450.000 TL ve ihlal 21 Kasım 2019 tarihinde öğrenilmiş olmasına rağmen bildirim 25 Şubat 2019 tarihinde yapıldığı için 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kurumun ikinci kararında ise bir otel zincirinin müşteri verilerini barındıran sistemlerde meydana gelen veri ihlali ele alınmıştır. Veri ihlali neticesinde müşteri isimleri, e-posta adresleri ve telefon numaraları, doğum tarihleri, kredi kartı ve güvenlik numaraları dört yıl boyunca yetkisiz erişime maruz kalmıştır. Yetkisiz erişimin dört yıl sürmesi nedeniyle Kurum, sistemlerde çok ciddi bir güvenlik açığının olduğu ve bu nedenle gerekli teknik ve idari tedbirlerin alınmadığına kanaat getirmiştir. Kurum bu tedbirlerin yerine getirilmemesi sebebiyle 1.100.000 TL ve bildirimin ihlal 8 Ağustos 2018 tarihinde öğrenilmesine rağmen 3 Aralık 2019 tarihinde yapılması sebebiyle en kısa sürede bildirim yükümlülüğüne aykırılık gerekçesiyle 350.000 TL idari para cezasına hükmetmiştir.

Kurum'un üçüncü kararı da bir havayolu şirketinde yaşanan ve şirketin müşteri sadakat sistemi verilerinin bulunduğu sisteme ilişkin veri ihlalini konu almaktadır. Veri ihlaline konu kişisel veriler müşterilerin ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, "frequent flyer" üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri gibi bilgilerden oluşmaktadır. Havayolu şirketinin ihlale konu şüpheli hareketlerden haberdar olmasından iki ay sonra ihlali tespit etmiş olması Kurum tarafından gerekli teknik ve idari tedbirlerin alınmadığı yönünde değerlendirilmiştir. Bu sebeple de havayolu şirketi 450.000 TL idari para cezasına çarptırılmıştır. Aynı olaydaki bir diğer ihlal konusu da Kurum tarafından bildirim ile ihlal arasında yaklaşık yedi ay olması sebebiyle en kısa sürede bildirim yükümlülüğünün ihlali ve bu doğrultuda 100.000 TL idari para cezası uygulanması olmuştur.

Sonuç

Kurum'un bu üç yeni kararı, kişisel veri ihlallerinin pratikte Kurum'ca nasıl değerlendirileceğine dair ışık tutmaktadır. Kararlardan anlaşıldığı üzere Kurum, veri ihlalinin gerçekleşme anı ile ihlalinden veri sorumlusunun söz konusu veri ihlalini tespit etmesi arasında geçen sürenin Kurum'ca belirtilen süreden fazla oluşunu gerekli teknik ve idari tedbirlerin alınmaması olarak değerlendirmektedir. Bu kararlar ışığında, veri ihlalinin gerçekleşme anı ile ihlalinden veri sorumlusunun söz konusu veri ihlalini tespit etmesi arasında geçen iki aylık süre Kurum tarafından gerekli teknik ve idari tedbirlerin alınmadığı değerlendirmesine yol açmış ve 450.000 ile 1.100.000 TL arasında değişen idari para cezalarının uygulanmasına sebep olmuştur. Buna ek olarak, söz konusu kararlar göstermektedir ki Kurum "en kısa zaman" ifadesinin 72 saat olarak anlaşılması gerektiği yorumunu uygulamakta ve bu süreyi aşan bildirimlere idari para cezasını uygulamaktadır. Kurum'un kararlarında aynı nitelikteki mevzuata aykırılıklara verilen idari para cezası meblağlarının değişiklik gösterdiği; Kurum'un ihlalleri değerlendirirken birden fazla unsuru dikkate aldığı ve cezaların da bu unsurlara göre değişiklik gösterebildiği görülmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.