Kişisel Verileri Koruma Kurumu’nun internet sitesinde 4 Ekim 2019 tarihinde bir turizm şirketi hakkında karar yayınlanmıştır.

Bir turizm şirketi hakkında Kurul tarafından verilen 27.08.2019 tarih ve 2019/255 sayılı Karar (“Karar”) Özeti

Söz konusu karar ile Şirkete veri güvenliği ihlali ve bu ihlalin Kurul’a bildirilmemesi sebebiyle toplamda 500.000 TL idari para cezası verilmiştir. İnternet sitesinde yayınlanan Kurul kararına göre;

Şirketin yerel alan ağı üzerinden, genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilen siber saldırı sonucunda, personel ve müşterilere ait bazı kişisel verilere ulaşım sağlandığı belirtilmiştir. Bu verilerin içerisinde personele ait ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri bulunurken; müşterilere ait ise yukarıda sayılanlardan farklı olarak ülke/eyalet, uyruk, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi, firma ise vergi numarası, TC/Pasaport No ve cinsiyet bilgilerinin bulunduğu; herhangi bir özel nitelikli kişisel veri mevcut olmadığı ifade edilmiştir.

Kurul tarafından yapılan inceleme neticesinde ihlale konu olayın detayları aşağıdaki gibidir;

Çalışan bilgisayarına, yetkisiz 3. kişilerce erişimin mümkün olmasının ve çalışanların ihlal gerçekleşmeden önce herhangi bir güvenlik eğitimi almamış olmalarının idari birer tedbirsizlik olduğu; güvenlik duvarının güncel durumda bulunmamasının ve bilişim ağlarında meydana gelen sızma ya da olmaması gereken hareketlerin Şirketin IT sistemleri tarafından fark edilmemiş olmasının da teknik birer eksiklik olduğu göz önünde tutularak, Şirketin Bilgi İşlem birimlerinin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı belirtilmiştir.

Nihai olarak Şirket hakkında,

• 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında yer alan “..veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) numaralı fıkrasında yer alan “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almamış olması sebebiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL,

• Söz konusu veri ihlalinin Şirket tarafından tespit edilmiş olmasına rağmen Kanunun 12. maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL,

idari para cezası uygulanmıştır.