“Bir bankanın veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/359 sayılı Karar Özeti
Karar Tarihi | : | 07/05/2020 |
Karar No | : | 2020/359 |
Konu Özeti | : | Bir bankanın veri ihlali bildirimi hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;
- İhlalin; KKB ekranında, Veri Sorumlusu Banka’nın eski çalışanının işin gereğinden fazla adette sorgulama yapılması ile gerçekleştiği, çalışanın ifadesine göre; T.C. kimlik numaraları Banka dışından 3. şahıs tarafından iletilip kişilerin kredi skorlarının öğrenilmek istenildiği,
- İhlalin yıllık periyotlarla hazırlanan kontroller neticesinde veri ihlalini gerçekleştiren çalışanın işin gereğinden fazla adette sorgulama yaptığının fark edilmesi üzerine hazırlanan Teftiş Raporu ile; çalışanın KKB sorgulamalarını ilgili kişilerin gıyabında gerçekleştirdiği, KKB sorgulamalarını gerçekleştirdiği esnada cep telefonu ile ilgilendiği ve KKB sorgulamalarını yaptıktan hemen sonra bir kağıda not aldığı, bazı tarihlerde bu kağıdın fotoğrafını çektiği ve/veya cep telefonu ile yazıştığının tespit edilmesiyle anlaşıldığı,
- İhlalin Temmuz 2018 ile Mayıs 2019 tarihleri arasında gerçekleştiği,
- İhlalden veri sorumlusunun müşterisi olan ve müşterisi olmayan toplam 5695 kişinin etkilendiği,
- İhlalden etkilenen kişisel verilerin, şahısların bankalardan kullanmış oldukları tüm kredili ürünlere ilişkin geçmişleri, ödeme performansları ve borç rakamları, adres, telefon vb. olduğu
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/359 sayılı Kararı ile;
- 7305 adet KKB sorgulaması yapıldığı, bu sorgularda 5889 adet TC kimlik numarası sorguladığı, (mükerrer olanlar elendikten sonra 5695) bu TC kimlik numaralarının 3038’inin Banka müşterilerine ait olduğu, 2851’inin Banka müşterisi olmadığı,
- Veri ihlalinin Temmuz 2018 ile Mayıs 2019 arasında gerçekleştiği, ihlalin anlaşılmasını sağlayan KKB sorgulama sayısının tespit edilmesine yönelik kontrolün yıllık periyotlarla yapılıyor olması nedeniyle ihlalin 1 yıla yakın süre boyunca devam ettiği ve ancak 18 Temmuz 2019 tarihinde tespit edilebildiği hususlarının, “Kişisel Veri Güvenliği Rehberi”nin (Teknik ve İdari Tedbirler-Rehber) “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir. Bu durumun önüne geçebilmek için; a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.”, ifadelerine aykırı olarak veri sorumlusu tarafından kişisel verilerin korunmasına ilişkin kişisel veri güvenliği takibinin uygun zaman aralıklarıyla yapılmadığının göstergesi olduğu,
- Veri sorumlusu tarafından ihlal öncesi yapılması gereken; kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi gibi kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının Rehber’in “Kişisel Veri İçeren Ortamların Güvenliğinin sağlanması” başlığı altında “Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.”, ifadelerine aykırı olarak ilgili teknik ve idari tedbirlerin ihlalin öncesinde yeterince alınmadığının göstergesi olduğu,
- Veri ihlalinden önce sorgulanabilecek kişi sayısının sınırlandırılmamış olduğu ve ancak ihlalin gerçekleşmesinden sonra 250 üzerinde sorgulama yapan kullanıcıların kamera kayıtları incelenerek veri ihlali oluşturacak bir durum olup olmadığının kontrol edildiği hususunun, Rehber’in “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; – Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, – Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, – Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.”, ifadelerine aykırı sorgulamada sınırlama (kota) bulunmamasından kaynaklandığı,
- Veri sorumlusuna ait çalışanlar için veri güvenliği ve Kişisel Verilerin Korunması Kanunu konusunda belli aralıklarla eğitim ve farkındalık çalışmalarının yapıldığı, çalışanların %86’sının konuyla ilgili bilgilendirme eğitimini tamamladığı, kalan kişilere ise eğitimin tekrar iletildiği ifade edildiği ancak bu hususta tevsik edici belge gönderilmediği hususlarının, Kişisel Verilerin Korunması Kanununun 2016 yılında kabul edildiği, Rehber’in 2018 yılının ocak ayında yayımlanmış olduğu ve “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.”, ifadelerine aykırı olarak gerçekleşen çalışanlara eğitim verilmesinin halen sağlanmadığı
hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL,
- 18.07.2019 tarihinde tespit edilmiş olan ihlalin 31.07.2019 tarihinde Kurula bildirildiği, geç bildirim sebebi olarak belirtilen Teftiş Raporunda yer alan bilgilerin hangilerinin paylaşıldığının net olmadığının ifade edilmesi, eldeki delillerin yetersizliği, olayın mahiyetinden emin olunmaması, müşteri şikayeti olmaması, dışarıdan gelen T.C. Kimlik numaralarına istinaden bu durumun ortaya çıkması gibi sebeplerle, bildirim gerekip gerekmediğinin kurum içinde değerlendirilmesi ve tüm ilgili ünitelerden görüş alınmasından kaynaklandığı sebebinin, 24.01.2019 Tarih ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’nda yer alan “…Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına…” ifadeleri göz önünde bulundurulduğunda ilgili sebeplerin Kurula geç bildirimde bulunulması için geçerli bir mazeret niteliği taşımadığı,
- Veri ihlalinden etkilenen 5695 kişi arasında sadece Bankada iletişim bilgileri bulunanlara veri ihlal bildiriminde bulunulduğu, bu kapsamda ilgili kişilerin tamamına bildirimde bulunmak adına makul çaba sarf edilmediği ve Kurumumuz tarafından talep edilmesine rağmen ihlalin bildirildiği kişi sayısının ve bu kişilerin Banka müşterisi olup olmadığına hususlarına dair Kurumumuza bilgi verilmediği
hususları dikkate alındığında; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL
olmak üzere toplam 450.000 TL idari para cezası uygulanmasına
karar verilmiştir.