İşbu metin Eralp Danışmanlık tarafından, Kişisel Verileri Koruma Kurumu 21.06.2021 Tarihinde yayımlanan Kararları hakkında bilgi vermek amacıyla hazırlanmıştır. Yayımlanan karalarda yetkisiz erişim sebebiyle veri ihlaline sebep olan tedarikçilerinden sorumlu tutulan Veri Sorumlularına ilişkin cezalar bulunmaktadır. Ayrıca Kurul; uygulama geliştiren yazılım şirketlerinin veri sorumlusu olduğuna dair bir yorum yapmaktadır. Son karar ise Veri Güvenliği tedbirlerine uygun bir davranış gerçekleştirerek, kişisel verilerine erişim talebinde bulunan ilgili kişiyi kendinden koruyan veri sorumlusunun örnek davranışına dair bir yorum bulunmaktadır.
Kişisel Verileri Koruma Kurulunun“Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme” hakkında 27/04/2021 tarih ve 2021/427 sayılı Karar Özeti
Karar:
6698 sayılı Kişisel Verilerin Korunması Kanununun 12/1 maddesinde yer alan veri güvenliğine ilişkin tebirlerin alınmaması nedeniyle 600.000 TL idari para cezası uygulanmasına,
Veri ihlalinden etkilenen ilgili kişilere ve Kişisel Verileri Koruma Kuruluna Kanunun 12/5 maddesi uyarınca, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
Olay Özeti:
- Veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları anlaşılmıştır.
- Söz konusu Tedarikçilerin, erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları görülmüştür.
- Ardından Veri sorumlusu şirket ve Tedarikçi şirket arasında geçmişe dönük olarak “Gizlilik Sözleşmesi” imzalayarak Yetkisiz erişimi hukuka uygun hale getirmeye çalışmıştır.
- İhlalin veri sorumlusu tarafından kendi tedarikçisi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edilmiştir.
- Kurum, Veri sorumlusu şirketin yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığının göstergesi olduğu yorumu yapılmıştır.
Sonuç:
- Belirtmek gerekir ki 3. kişi verilerine yetkisiz erişim sağlayan tedarikçiler ile “Gizlilik sözleşmesi” imzalamak, yetkisiz erişimi hukuka uygun hale getirmemektedir. Burada dikkat çekmek gerekir ki Gizlilik Sözleşmesinin geçersizliği geçmişe dönük olması nedeniyle değildir. Kişisel Verilerin Korunması rehberi uyarınca yapılması gereken hukuka uygun bir veri aktarım sözleşmesi imzalanması veya sadece bir Servis Düzeyi Sözleşmesi imzalanması gerekirdi.
- Yine Kişisel Verilerin Korunması reheberi uyarınca Veri Sorumlusunun yetkilendirme süreçlerini düzenli olarak kontrol etme yükümlülüğü bulunmaktadır.
- Yetkisiz erişimler kanun uyarınca veri ihlali olarak belirlenmiştir. Bu konuda kurula bildirim yapılması zorunludur.
“Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/426 sayılı Karar Özeti
Karar:
6698 sayılı Kişisel Verilerin Korunması Kanununun 12/1 maddesi uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği gerekçeleriyle 300.000 TL idari para cezasının uygulanmasına,
Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alındığında Kanunun 12/5 maddesi kapsamında Kişisel Verileri Koruma Kurulunun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 100.000TL idari para cezasının uygulanmasına karar verilmiştir.
Özet:
- Veri ihlali, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu yetkilendirme çalışması esnasında veri tabanı katmanında çalıştırılan SQL Script kodundaki bir hata sonucu oluşmuştur.
- Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmiştir.
- Partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan diğer firmaların da yardım masası bildirimlerine ulaşabildiği fark edilmiştir. (Yetkisiz Erişim)
- Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firma etkilenmiştir. Veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile ilgili e-posta yoluyla bilgilendirme yapılmıştır.
- Durum tespit edilir edilmez partner firmaya ait yardım masası yetkisi veri sorumlusu tarafından kaldırılarak erişim engellenmiştir.
- Partner firma tarafından veri sorumlusuna gönderilen e-posta ile, ilgili hata sonucu diğer firmalara ait bilgileri görebildikleri, bilgilerin kullanılarak ilgili kişiler ile iletişime geçilmemesi gerektiği ve veri sorumlusu avukatınca partner firmaya gerekli yasal hatırlatma yapılarak, erişilen verilerin silinmesinin talep edildiği görülmüştür.
Sonuç:
- Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun karar verici pozisyonda olduğu, ancak gelen geri bildirimler (kullanıcı deneyimleri) çerçevesinde değerlendirme yapılarak ürün özelliği olarak versiyon planı dahilinde eklendiği, kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle kendilerine özel ekranlar oluşturabildikleri görülmüştür.Söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının veri sorumlusu olarak değerlendirildiği görülmektedir.
- Veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği görülmektedir. Bu nedenle veri sorumlularının veri ihlallerinin önüne geçebilmek için Yazılım geliştirme süreçlerinin test platformunda yapılması gerektiği anlaşılmaktadır.
- Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı görülmektedir.
- Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçları kullanılmalıdır.
“İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı Karar Özeti
Karar:
Veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve ilgili kişinin kişisel verileri içeren dosyanın şifrelenmesinin Kanun’un 12/1-b maddesi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Özet:
- İlgili kişinin gmail adresinden veri sorumlusuna gönderdiği e-postada yemek kartı kullanıcısı olduğunu belirterek Kanun’un 11’inci maddesi uyarınca kişisel verilerine erişim talebinde bulunmuştur.
- Yapılan inceleme sonucunda söz konusu e-posta adresi sistemde kayıtlı olmadığı anlaşılmıştır. Ancak kanalının teyit edilememiş ve ayrıca ilgili kişi tarafından sunulan kart numarasının hatalı bir numara olduğu anlaşılmıştır.
- Veri sorumlusunun ilgili kişinin talebine verdiği cevapta, ilgili kişi haricinde bir başka kişiye cevap verilmediğinin teyit edilebilmesi için kimliğini doğrulayacak bazı ilave bilgiler istenilmiştir.
- Veri sorumlusu risk değerlendirmesi yapılarak e-posta ortamında güvenliği en üst düzeyde temin etmek için talebin yanıtlandığı e-mailde kişisel verilerin yer aldığı dosya şifrelenmiştir. İlgili kişinin dosya şifresinin kendisine verilmesi için doğrudan arayabileceği bir telefon numarasının kendisine bildirilmiştir.
- Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin, üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı görülmektedir.
- Veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiği ifade edilmiştir.
- Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kullanımındaki yemek kartının hesap hareketleri ve yükleme bilgilerine ilişkin kişisel verileri içeren dosyanın ilgili kişi tarafından belirtilen ve alt yapısı yurt dışında olan “gmail” hesabına e-posta aracılığıyla gönderileceği için bu verileri içeren dosyanın şifrelenerek gönderilmesi ile veri güvenliğinin üst düzeyde sağlanmasının amaçlandığı,
- Kurulun 31/05/2019 tarihli ve 2019/157 sayılı Kararında belirtildiği üzere, Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının söz konusu olacağı; bu doğrultuda, Kanunun 12’/1-b maddesi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü altında olan veri sorumlusunun aldığı ilave güvenlik önleminin ilgili kişinin iddia ettiği üzere Kanuna aykırılık değil, Kanunun titizlikle uygulanması olduğu yorumunu yapmıştır.
Sonuç:
- İlgli kişinin talebi olsa da veri sorumlusunun sistemde kayıtlı olmayan e-posta adresine şifreleyerek göndermesi yerinde bir tedbirdir.
- Veri sorumlusunun uygulamasının Kanunun 12. maddesi kapsamında veri güvenliği tedbirleri uyarınca yerinde bir uygulama olduğu, kimlik tespitine imkan verecek başka bir yöntem önererek ulaşma imkanı vermesi ile İlgili kişinin Kişisel verileri koruma kanunu 11. maddesi uyarınca sahip olduğu “kişisel verilere” erişim yetkisini sınırlandırmadığı görülmektedir.
KVKK Diğer Karar Özetleri: https://www.eralp.av.tr/19-mart-kisisel-verilerin-korunmasi-kurul-karar-ozetleri/