BİR TURİZM ŞİRKETİ HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 27.08.2019 TARİH
VE 2019/255 SAYILI KARAR ÖZETİ
Karar Tarihi : 27/08/2019
Karar No : 2019/255
Konu Özeti :Bir turizm şirketinin veri ihlali hakkında Karar
Şirket tarafından Kurumumuza iletilen bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
27.08.2019 tarih ve 2019/255 sayılı Kararı ile;
Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan
Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu
olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi
şeklinde olduğu,
Etkilenen kişisel verilerin;
Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı,
anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri
Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon
numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi(DB-Veri tabanı seviyesinde
şifreli), firma ise vergi numarası, TC/Pasaport No(DB-Veri tabanı seviyesinde şifreli), cinsiyet
olduğu,
Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmadığı,
Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin
idari bir tedbirsizlik olduğu,
Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra
kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda
bulunmamasının teknik bir eksiklik olduğu,
Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları
anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin
göstergesi olduğu,
İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için
Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark
edilmemesinin teknik bir eksiklik olduğu, - Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali
gerçekleştiren kişi tarafından yok edildiği,
Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin
Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu
dikkate alınarak;
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında yer alan “..veri
sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak
erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) numaralı fıkrasında yer alan “Veri
sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli
denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli
teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi
uyarınca 400.000 TL idari para cezası uygulanmasına,
Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12
nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil
etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası
uygulanmasına karar verilmiştir.