Yardım Masası Paneli Hizmeti Veren Bir Veri Sorumlusunda Gerçekleşen Veri İhlali
Karar Tarihi | : | 27/04/2021 |
Karar No | : | 2021/426 |
Konu Özeti | : | Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme |
Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurumumuza bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır.
Yardım masası paneli hizmeti veren veri sorumlusu nezdinde yapılan yerinde inceleme ve konuya ilişkin ifadelerinin yer aldığı tutanakta;
- Veri ihlalinin, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu yetkilendirme çalışması esnasında veri tabanı katmanında çalıştırılan SQL Script kodundaki bir hata sonucu oluştuğu,
- Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmesiyle, partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan diğer firmaların da yardım masası bildirimlerine ulaşabildiği,
- Veri sorumlusu tarafından yapılan analiz çalışması sonucunda, sadece söz konusu partner firmanın kendisi haricindeki diğer yardım masası bildirimlerine erişim sağladığının tespit edildiği,
- Durum tespit edilir edilmez partner firmaya ait yardım masası yetkisi veri sorumlusu tarafından kaldırılarak erişiminin engellendiği,
- Partner firma tarafından veri sorumlusuna gönderilen e-postada, ilgili hata sonucu diğer firmalara ait bilgileri görebildikleri, kendileri ile iletişime geçilmemesi durumunda ihbarda bulunulacağı ve veri sorumlusunun çalışmakta olduğu firmalarla iletişime geçileceğinin paylaşıldığı, veri sorumlusu avukatınca partner firmaya gerekli yasal hatırlatma yapılarak, erişilen verilerin silinmesinin talep edildiği,
- Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilenmiş olduğu, veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile ilgili e-posta yoluyla bilgilendirme yapıldığı,
- Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun karar verici pozisyonda olduğu, ancak gelen geri bildirimler (kullanıcı deneyimleri) çerçevesinde değerlendirme yapılarak ürün özelliği olarak versiyon planı dahilinde eklendiği, kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle kendilerine özel ekranlar oluşturabildikleri
ifade edilmiştir.
Yardım masası panelinin, veri sorumlusunun kendisi tarafından kurulan ve yönetilen bir platform olduğu, yazılım hizmetleri ile ilgili bakım ve destek hizmetlerini sağladığı, diğer veri sorumlularının sınırlı bir erişime sahip olduğu ve üzerinde doğrudan değişiklik yapmasının mümkün olmadığı değerlendirilmiştir.
İhlal ile ilgili 3 veri sorumlusu tarafından, Kurumumuza kişisel veri ihlal bildiriminde bulunulmuş, bildirimde bulunmayan 10 veri sorumlusu hakkında 22.04.2020 tarih ve 2020/311 sayılı Kurul Kararı ile resen inceleme başlatılmasına karar verilmiş olup, bunun üzerine söz konusu veri sorumlularından bilgi ve belge talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/426 sayılı Kararı ile,
A) Teknik ve idari tedbirler ile ilgili olarak;
- Yardım masası panelinin, yazılım firmasından hizmet alan veri sorumlularının kullanıcı adı ve şifreleriyle giriş yapıp yardım taleplerini ilettikleri bir platform olduğu, söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının veri sorumlusu sıfatını haiz olduğu,
- Veri ihlalinden 13 farklı veri sorumlusunun, 950’den fazla sayıda çalışanına ve müşterisine ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
- Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı,
- Bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği,
- Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığı
hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak (ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği) Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 300.000 TL idari para cezasının uygulanmasına,
B) Kurumumuza ve ilgili kişilere yapılan bildirim ile ilgili olarak;
- Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 100.000TL idari para cezasının uygulanmasına,
C) Kurumumuza yönelik bilgi ve belge gönderimi hakkında;
- Bir kamu tüzel kişiliğine haiz veri sorumlusunun, söz konusu olay dahilinde kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurumumuza herhangi bir cevap vermediği,
- Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından resen incelemeye ilişkin karar verilemeyeceği, zira olayın yargı organları tarafından değerlendirilmesi gerektiğini iddia ettiği ve Kurumumuza bir takım bilgi ve belge göndermiş olmakla birlikte; Kurulun, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi Kurumumuza göndermemiş olduğu
hususları dikkate alındığında Kanunun 15 inci maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü çerçevesinde veri sorumluların Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına
karar verilmiştir.