S ŞANS OYUNLARI A.Ş HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 27.08.2019 TARİH VE

2019/254 SAYILI KARAR ÖZETİ

Karar Tarihi : 27/08/2019
Karar No : 2019/254
Konu Özeti :S Şans Oyunları A.Ş.'nin veri ihlali hakkında Karar


S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren
yazılarda özetle;


 S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak
www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,


 Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait
telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye
numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini
paylaşmasıyla haberdar oldukları,


 Veri ihlalinin gerçekleşme tarihinin bilinmediği,


 İhlalden etkilenen kişi sayısının belirlenemediği,


 İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,


 İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,


 Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında
sistemden gönderilen kısa mesajlar olduğunun tespit edildiği ifadelerine yer verilmiştir.


Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı
Kararı ile;


 İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri
yapmadığının göstergesi olduğu,


 İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene
aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,


 Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına
rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak
alınmadığının veya uygulanamadığının göstergesi olduğu,


 Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun
idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,


Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde
gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve
idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel
Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri
almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para
cezası uygulanmasına,


Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen
Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası
uygulanmasına, karar verilmiştir.