Türkiye – “Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi” hakkında Kişisel Verileri Koruma Kurulunun 07/10/2021 tarih ve 2021/1021 sayılı Karar Özeti
Konu
Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimine dair Kurul tarafından yaptırım uygulanması. |
Olay
Mağazacılık faaliyeti yürüten bir veri sorumlusunun 4792 adet müşterisine ait (e-posta adresi, siteye son giriş tarihi ve şifrelenmiş parola bilgisi, 4616 kişiye ait ad ve soyad, 4536 kişiye ait telefon numarası, 33 kişiye ait TC kimlik numarası, 1669 kişiye ait sipariş tutarı, 67 kişiye ait adres, 1749 kişiye ait sipariş sayısı, 1714 kişiye ait siteye kayıt tarihi, 2176 kişiye ait şifrelenmiş cinsiyet, 3337 kişiye ait doğum tarihi bilgisi) kişisel verilerin internet üzerinden bir forum sitesinde satılmaya çalışılmıştır.
Değerlendirme
Kurum’a sunulan ekran görüntülerinde veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının, aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığının görülmüştür.
Anılan veri sorumlularının da aynı veri işleyenden hizmet aldıkları/almakta oldukları; bu anlamda aynı veri işleyenden hizmet alan farklı veri sorumlularının müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sayfasında ve aynı tarihte satışa çıkarılması nedeniyle verilerin veri işleyen sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına sağlam dayanak teşkil ettiği değerlendirilmiştir.
Veri işleyenin kişisel verileri muhafaza ettiği dijital ortamlara yönelik ihlalden önce gerçekleştirilmiş bir sızma testi raporu bulunmadığı; buna paralel olarak veri sorumlusunun veri işleyen bünyesinde ihlalin gerçekleşmesine sebep olabilecek teknik zafiyetlerin neler olduğuna ilişkin bilgi sahibi
olamadığı; dolayısıyla veri işleyenin kişisel verilerin korunması hususunda uygun güvenlik düzeyini temin etmesini garanti altına almak noktasında üzerine düşen denetim tedbirini almadığı; ayrıca veri sorumlusunun, veri işleyenin muhafaza ettiği kişisel verilerin imhasına yönelik olarak aralarındaki ticari ilişkinin sonlanmasını müteakip gerekli girişimlerde bulunması gerekirken bunu ihlalden sonra yaptığı anlaşılmıştır.
Veri ihlalinin 24/01/2019 tarih ve 2019/10 sayılı Kurul Kararı ile belirlenen ihlalin öğrenilmesinden itibaren başlayan 72 saat içerisinde Kuruma bildirildiği anlaşılmıştır.
Karar
Veri ihlallerinde ilgili kişilere bildirimlerin, etkilenen herkesin bilgi almasını sağlayarak ve Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurlara uygun şekilde gerçekleştirilmesine dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına;
öz konusu veri sorumluları ile veri işleyen hakkında Kanunun 15 nci maddesinin “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” şeklindeki (1) numaralı fıkrasına dayanarak resen inceleme başlatılmasına,
Karar verilmiştir.
Yaptırım
Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili Maddeler
6698 / m. 12/(1),(2), m. 15(1), m. 18(1)(b)
Bunlara da bakmak isteyebilirsin
ONTARIO HÜKÜMETİ (KANADA) TARAFINDAN GİZLİLİK MEVZUATINA DAİR EKSİKLİKLERİ, ÖNERİLERİ İÇEREN VE KAMUOYU BİLGİSİNE SUNULAN RAPOR
Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Denetçisi’nin 4/2022 Sayılı Ortak Görüşü Avrupa Parlamentosu ve Avrupa Konseyi’nin Çocuğun Cinsel İstismarını Önleme ve Mücadele Etme Kurallarını Düzenleyen Tüzüğüne İlişkin Tasarı Hakkında (Yönetici Özeti)
