Karar Tarihi |
: |
25/02/2021 |
Karar No |
: |
2021/154 |
Konu Özeti |
: |
Bir sigorta şirketinin veri ihlal bildirimi hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
- Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
- İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği,
- İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği,
- İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu,
- İhlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
- Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/154 sayılı Kararı ile,
- İhlalin eski çalışanın işinden ayrıldıktan sonra çalışmaya başladığı şirketin ilgili birimleri tarafından tespit edilip veri sorumlusuna bildirdiği,
- İhlalden 544 müşteriye ait; kimlik, iletişim ve araç plaka numaralarının etkilendiği,
- DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının “Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği,
- Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımamasının “Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiği,
- İhlale konu e-posta gönderimlerinin; kasım ve aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada; DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği,
- İhlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı, bunun yanında eski çalışanın da içinde bulunduğu kullanıcılar grubuna bilgilendirmeler yapılmakla birlikte ilk bildirimde bilgilendirmede kişisel verilere ilişkin tanımlara yer verilip Kurumumuz internet sayfasında yer alan videoların bağlantısının paylaşıldığı, ikinci bilgilendirmede ise sadece ilgili kişilerin hak ve yükümlülüklerinin yer aldığı dikkate alındığında “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği
dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına
- İhlalin; 24.12.2019 tarihinde tespit edildiği ve 27.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı dolayısıyla Kanun kapsamında yapılacak bir işlem olmadığına,
- Öte yandan, veri sorumlusu tarafından bundan sonra ilgili kişilere yapılacak bildirimlerin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak yapılmasına dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.