Türkiye Kişisel Verileri Koruma Kurumu ("Kurum"), Bir perakende giyim firmasının kişisel veri ihlali bildirimi hakkında 20/01/2020 tarih ve 2020/50 sayılı kararı yayımlandı. Karar web sayfası tasarım aşamasındayken yapılan testlerin yetersiz olması nedeniyle geç tespit edilen bir ihlale ilişkindir.
Veri sorumlusu, Kuruma iletilen veri ihlali bildiriminde, yeni hesap açan bazı müşterilerin kişisel verilerinin bir URL aracılığıyla bazı üçüncü taraf satıcı/sağlayıcılara aktarıldığını belirtmiştir. Bu ihlalin tespiti, veri sorumlusunun düzenli incelemesi sırasında ortaya çıkmıştır.
Kurul kararında aşağıdaki kanaatlerde bulunmuştur.
· 01.08.2018 ve 21.10.2018 tarihlerinde meydana gelen veri ihlallerinin yaklaşık bir yıl sonra 02.07.2019 tarihinde tespit edilmiş olması, şirketin takip alarm sistemlerinin etkin olmadığının ve gerekli kontrollerin yapılmadığının göstergesidir.
· Kişisel verilerin URL üzerinden üçüncü taraf satıcı/sağlayıcılar tarafından görülebilmesi, web sayfası tasarım aşamasında yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının bir göstergesidir.
Yukarıda açıklanan sebeplerden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12'nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
