Avrupa,  Polonya

Polonya Veri Koruma Otoritesi’nin 19.01.2023 Tarihli Kararı Szczecin Yerel Mahkemesi’ne Yaklaşık 6.400 Euro İdari Para Cezası

15 Nisan 2023 /

 

Hazırlayan: Merve AYDIN

Kararın Özeti

Polonya Veri Koruma Otoritesi (“Polonya VKO”), Szczecin Yerel Mahkemesi tarafından yeterli güvenlik tedbirlerinin alınmaması nedeniyle taslak mahkeme kararları ve ilgili kişilere ait belirsiz sayıdaki kişisel verinin yer aldığı üç adet taşınabilir USB belleğin mahkeme personeli tarafından kaybedilmesi ile sonuçlanan olayda, Szczecin Yerel Mahkemesi aleyhine yaklaşık 6.400 Euro idari para cezası uyguladı.

İlgili Maddeler

GDPR madde 5(1)(f)

GDPR madde 5(2)

GDPR madde 24(1)

GDPR madde 25(1,2)

GDPR madde 32(1)

GDPR madde 32(2)

Olay

Szczecin Yerel Mahkemesi (Veri Sorumlusu), diğer yöntemlerin yanı sıra kişisel verileri, taşınabilir USB bellek içerisinde depolamıştır. 2020 yılında bir çalışan; 2004 yılından 2020 yılına kadar toplanan taslak mahkeme kararları ve ilgili kişilere ait belirsiz sayıdaki kişisel verinin yer aldığı biri şifreli, ikisi şifresiz olmak üzere üç adet taşınabilir USB belleği kaybetmiştir. Veri Sorumlusu, bu olayı öğrenmesi üzerine veri ihlalini, Polonya VKO’ya bildirmiş ve akabinde Polonya VKO tarafından re’sen soruşturma başlatılmıştır.

Polonya VKO, söz konusu güvenlik ihlalinin meydana gelmesini önlemek için alınmış olan idari ve teknik tedbirlere ilişkin bilgi talep etmiştir.

Veri Sorumlusu, veri koruma etki değerlendirmesinde kişisel veri kaybının orta düzeyde risk olarak değerlendirildiği bir risk analizi yapıldığını ve taşınabilir ortamda saklanan tüm kişisel verilerin şifrelenmesine dair yükümlülük getirdiğini ileri sürmüştür. Buna ek olarak Veri Sorumlusu, iki yılda bir olmak üzere personel ekipmanlarının/araçlarının kontrol edildiğini ve personelinin, düzenli olarak veri güvenliği eğitimi aldığını iddia etmiştir.

Veri Sorumlusu, uzaktan çalışma halinde yalnızca yetkilendirilen resmi cihazlar üzerinden çalışmanın gerçekleştirildiğini, güvenliği ihlal edilen kişisel verilerin saklanma süreleri yönünden ise yerel mevzuatta var olan, mahkeme dosyalarının saklanması ve devlet arşivlerine aktarılması veya imha edilmesine ilişkin mevzuata atıf yapmakla birlikte taşınabilir bellek kullanılarak kişisel verilerin işlenmesine ilişkin kuralları içerir politikaya sahip olduklarını, depolanan verilerin gizliliğini korumak için kriptografik güvenlik önlemleri kullanıldığını, etkinliğini sağlamak amacıyla çalışanlara donanım şifrelemeli USB verildiğini, ayrıca Mahkeme Bilgi İşlem Daire Başkanlığı tarafından yetkilendirilen veri taşıyıcılarının; departman numarası, ad ve soyadı, cihaz adı ve modeli, alıcının tarih, kaşe ve imzası gibi bilgileri içerdiğini, ihlal sonrası belleklerin envanterinin çıkarıldığı ve Ekim 2020’den itibaren USB bağlantı noktalarını bloke ettiklerini ve bu sayede üçüncü kişilerin erişiminin imkansız hale getirildiğini belirtmiştir.

Karar

Öncelikle, Polonya VKO, bütünlük ve gizlilik ilkeleri (GDPR madde 5 (1)(f)) dahil Veri Sorumlusu’nun, GDPR madde 5’te yer alan koşulları sağlaması gerektiğini hatırlatmıştır. Bu ilkeye göre; kişisel veri, arızi kayıplara karşı koruma dahil yeterli güvenlik tedbirleri alınarak işlenmelidir.

İkincil olarak, Polonya VKO, GDPR madde 32(1) uyarınca Veri Sorumlusu’nun, yeteri düzeyde idari ve teknik tedbirin alındığını, tasarımda ve varsayılan olarak gizlilik ilkelerinin uygulanmasının (GDPR madde 25(1)) sağlanması gerektiğini, bunların ise GDPR madde 24(1) uyarınca Veri Sorumlusu’nun yükümlülüğü olduğunu vurgulamıştır. Bu bağlamda, Veri Sorumlusu tarafından gerçekleştirilen risk analizinin, özel saklama ortamları oluşturulmasını tamamen önlemek amacıyla USB bağlantı noktalarını bloke etmemiş olması nedeniyle gizliliğin kaybı gibi tüm ihtimali riskleri değerlendirmesine dahil etmediği kanaatine varılmıştır.

Üçüncü olarak, Polonya VKO, verilerin saklanması için kullanılan şifrelenmemiş ve taşınabilir özel belleklerin mahkeme çalışanları tarafından kullanılmaması için, Veri Sorumlusu’nun uygun düzeyde tedbir almadığını ve bunun gerçekleşmemesini sağlayamadığını belirtmiş ve ilave olarak veri güvenliği ve mahremiyeti sağlamanın, idari ve teknik tedbirlerin hem yeterli derecede hem de etkin olduğunun düzenli olarak gözden geçirmeyi gerektiren bir süreç olduğunu ifade etmiştir. Kararda, veri korumaya dair eğitim verilmiş olmasının, yeterli bir güvenlik tedbiri olarak kabul edilebilmesi için süreklilik arz etmesi ve ilkelerin pekiştirilmesini sağlayacak döngüde uygulanması gerektiğinin de altı çizilmiştir.

Ayrıca bir tanesi şifreli, iki tanesi şifresiz olmak üzere üç adet taşınabilir USB bellek içerisindeki kişisel verilerin; ad, soyadı, ikamet adresi, sağlık bilgisi, işyeri bilgileri ve yargılama konuları olmak üzere kişisel verileri içeren karar taslaklarını içermekle birlikte bunların kapsamlarının ne olduğunun veri sorumlusu tarafından gösterilemediği belirtilmiştir.

Polonya VKO, Aralık 2019’dan itibaren USB bağlantı noktalarını bloke etmek için Veri Sorulusu’nun gerekli yazılıma sahip olduğunu ancak (kişisel verilerin özel depolama alanlarında saklanmasına dair tehdidi en aza indirmeye amaçlayan) yazılımın Ekim 2020 tarihinde kullanılmaya başlandığını ve yalnızca kurum bilgisayarlarındaki USB girişlerini bloke ederek kurum cihazlarında yetkisiz kullanımın önüne geçildiğini vurgulamıştır. Bu nedenle her ne kadar Veri Sorumlusu tarafından idari tedbirler alınmışsa da teknik tedbirler alınmadığı ve yapılan denetimlerle bağlantılı olarak denetimi gerçekleştiren kişiler tarafından belirtilen tavsiyelerin uygulanmadığı kanaatine varılmıştır.

Polonya VKO, ihlal gerçekleşmeden önce Veri Sorumlusu’nun taşınabilir bellek kullanımının oluşturduğu tehdidin farkında olduğuna şüphe olmadığını zira mahkeme politikalarında bunu önlemeye yönelik politika varlığının mevcut olduğunu, verilerin güvenliğini sağlamaya yönelik kurumsal tedbirler alındığını lakin Veri Sorumlusu’nun, yalnızca özel depolama ortamlarının kullanımına yasak getirmesinin yeterli olmadığını; bu korumanın etkinliği, çalışanların bu yasağa fiilen uyup uymadığı da dahil olmak üzere bu hususları test etmemiş olmasının yeteri düzeyde tedbir alınmadığının göstergesi olduğunu ifade etmiştir.

Sonuç olarak, Polonya VKO, Veri Sorumlusu tarafından yeterli derecede idari ve teknik tedbir uygulanmadığından bahisle ihlalin ciddiyeti, ihlale konu olan kişisel verilerin kapsamı, 2004 yılından 2020 yılına kadarki dönemde belirsiz sayıda kişi grubunun ihlalden etkilenmiş olması ve ayrıca kaybedilen taşınabilir belleklerin bulunamamış olması nedenleriyle yetkisiz kişi/kişilerin halen bu kişisel verilere erişim ihtimalinin bulunduğu ve bu bağlamda kişisel verilerin dair hangi amaçla(rla) kullanılabileceği bilinmediğinden hukuka aykırı kullanım riskinin yüksek olduğu ve ayrıca mahkemelerin, kamu güvenine dayalı kurumlar olması nedeniyle de Veri Sorumlusu’nun daha yüksek standartlar uygulamakla yükümlü olduğu gerekçeleriyle söz konusu cihazların kaybedilmesinin gizliliğinin ihlali ile sonuçlanmasından ötürü aşağıdaki gibi karar kurulmuştur:

  •  GDPR madde 5(1)(f), 24(1), 25(1) ve 32 ile birlikte madde 5(2)’yi ihlal etmiştir
  •  Gerekli idari ve teknik tedbirleri almamıştır ve genel ilkelere aykırı davranmıştır.
  •  Veri Sorumlusuna 30.000 Polonya Zlotisi (yaklaşık 6.400 Euro) idari para cezası uygulanmıştır.

***

Kararın orijinal dilindeki tamamı için bkz: https://uodo.gov.pl/decyzje/DKN.5131.12.2020#

Bunlara da bakmak isteyebilirsin

AVRUPA VERİ KORUMA KURUMU’NUN WHATSAPP İRLANDA İLE İLGİLİ BAĞLAYICI KARARI
10 Temmuz 2022
Avrupa Veri Koruma Denetmeni – İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Taraması Rehberi – Geniş Özet
22 Ağustos 2021
Madde 29 Veri Koruma Çalışma Grubu’nun 2016/679 Sayılı Tüzük Uyarınca Kişisel Veri Güvenliği İhlali Bildirimine İlişkin Rehberi
26 Ocak 2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!