Kisisel Verileri Koruma Kurulu ("Kurul"), on yeni özet karar yayimladi:
- 2020/216 sayili Karar Özeti: Veri sorumlusu nezdinde gerçeklesen siber saldiriya iliskin olarak Kurul, (i) veri sorumlusu tarafindan sistemde saldirganlar tarafindan erisilen verilerin neler oldugunun ve hangi kisisel verilerin etkilendiginin tespit edilemedigi, (ii) sistemde 65.993 kisinin yer aldigi, bu kisilerden 1.784 tanesinin eski kimlik fotokopisinin arkali önlü yüzünün bulundugu (iii) ayrica 50.000 kredi karti bilgisi yer aldigi, (iv) ihlal sonrasi sizma testinde web uygulamalarinda yüksek ve orta seviyede açikliklarin tespit edildigi, herhangi bir aydinlatma metninin bulunmadigi hususlarina dikkate alarak 450.000 TL para cezasina hükmetmistir.
- 2021/407 sayili Karar Özeti: Karara konu olayda hastanede çalisan hekim, hastalarina ait dosyalari arsivden alarak kendisinin talimatiyla bazi hastane çalisanlari araciligiyla hastane disina çikarmistir. Veri ihlali, dosyalari hastane disina çikarmaya tesebbüs eden bir çalisanin görülmesinden 17 gün sonra kamera kayitlarinin incelenmesi neticesinde tam olarak tespit edilebilmistir. Kurul, hasta kayitlarinin tamaminin geri alinamamasi, ihlal özel nitelikli kisisel veriler dahil verilerin etkilenmis oldugu, çalisanlara gerekli egitimin verilmedigi, ihlalin süphenin ortaya çikmasindan 17 gün sonra tespit edildigi, arsiv odasina yetkisiz kisilerin erisimi bulundugu olusturulan politika ve prosedürlere uyulmadigi ve ihlalin en kisa sürede bildirilmedigi hususlarini dikkate alarak, 600.000 TL idari para cezasina hükmetmistir.
- 2021/464 sayili Karar Özeti: Karara konu ihlal, veri sorumlusu Sigorta sirketinin bir acentesinde isletmelerine ait bilgisayar ekranina bir hacker tarafindan erisim saglanmasiyla gerçeklesmistir. Kurul, veri isleyen sigorta acentesinin veri sorumlusu sigorta sirketi tarafindan yeterli sekilde denetlenmemesi, herhangi bir kisisel veriye erisilip erisilmediginin tespit edilememesi, acente çalisanlarina yeterli egitim verilmemis olmasi, eski tarihli yazilim kullanilmasi, antivirüs yazilimi kullanilmamasi hususlarini dikkate alarak 60.000 TL para cezasina hükmetmistir.
- 2020/466 sayili Karar Özeti: Karara konu ihlal, çalisanlarin e-posta adreslerine bir baska çalisanin bordrolarinin gönderilmesi suretiyle gerçeklesmistir. Kurul, çalisanlara kurumsal e-posta adresi açilmayarak bordrolarin çalisanlarin bildirdigi farkli e-posta sunuculari nezdinde sahip olunan e-posta adreslerine gönderildigi, veri sorumlusu tarafindan risk degerlendirmesi yapilmadigi, aydinlatma metninde söz konusu hususa dair yeterli açiklama bulunmadigi hususlarini dikkate alarak 172.000 TL para cezasina hükmetmistir.
- 2020/511 sayili Karar Özeti: Karara konu ihlal, kisi bazinda kimlik ve ilaç kullanim bilgilerinin hata sonucu 11 adet sigortalinin erisimine açilmasi suretiyle gerçeklesmistir. Kurul, ihlalin 7 ayi geçkin bir süre devam etmesi ve ancak erisim saglayan sigortalinin bildirilmesi sureti ile ihlalin farkina varilmasi, ihlalden özel nitelikli kisisel veriler dahil kisisel verilerin etkilenmesi, zafiyet taramasi yapilmamasi, sistem hatasinin gerçeklesmemesi için gerekli güvenlik önlemlerinin alinmamasi hususlarini dikkate alarak 100.000 TL para cezasina hükmetmistir.
- 2020/744 sayili Karar Özeti: Karara konu ihlal, veri sorumlusu banka çalisaninin bankaya ait kisisel verileri üçüncü kisilerle paylasmasi suretiyle gerçeklesmistir. Kurul, çalisanlara egitim verilmis olmasina ragmen ihlalin gerçeklesmesi sebebiyle egitim içeriginin yetersiz olduguna dair süphe olustugu, kisisel verileri içeren e-postanin kurum disina gönderilmesi esnasinda e-postanin sizinti önleme sistemleri ("DLP") tarafindan durdurulmadigi, veri ihlalinin süresi içerisinde bildirilmedigi hususlarini dikkate alarak 275.000 TL para cezasina hükmetmistir.
- 2021/154 sayili Karar Özeti: Karara konu ihlal, eski bir çalisaninin görevi geregi erisimi bulunan bazi müsterilere ait kisisel verileri kurumsal e-posta adresinden G-mail uzantili sahsi e-posta adresine iletmesi suretiyle gerçeklesmistir. Kurul, ihlalin veri sorumlusu tarafindan degil, çalisanin bir sonraki isyerindeki yetkililer tarafindan fark edildigi, DLP sisteminin söz konusu verilerin sizdirilmasini engellemedigi, yeterli egitimin verilmedigi hususlarini dikkate alarak 150.000 TL para cezasina hükmetmistir.
- 2021/187 sayili Karar Özeti: Karara konu ihlal, veri sorumlusunun bilgi sistem destek hizmeti aldigi veri isleyende meydana gelen sistemsel bir hata sonucu 681 ilgili kisinin kisisel verilerini, diger müsterilere göndermesi sonucu meydana gelmistir. Kurul, uygulamada var olan hatanin uygulama isleme alinmadan önce tespit edilmedigi, ihlalin 2 yil sonra fark edildigi, veri sorumlusu tarafindan kendiliginden fark edilmedigi hususlarini dikkate alarak 125.000 TL para cezasina hükmetmistir.
- 2021/190 sayili Karar Özeti: Karara konu ihlal, bir sube çalisaninin müsterinin kimlik görüntüsünü amaci disinda gözlemlemesi, sahsi cep telefonu ile fotografini çekmesi ve üçüncü kisiyle paylasmasi suretiyle gerçeklesmistir. Kurul, verilen egitimlere ragmen yeterli farkindaligin çalisan nezdinde saglanmadigi, ihlal öncesinde takim liderlerinin müsteri verilerini istedikleri zaman istedikleri siklikta görüntüleyebildikleri, kota uygulamasi bulunmadigi, ihlal öncesinde herhangi bir uyari sistemi bulunmadigi hususlarini dikkate alarak 100.000 TL para cezasina hükmetmistir.
- 2021/311 sayili Karar Özeti: Karara konu ihlal, veri sorumlusunun web sitesinde yapilan degisiklik sonucunda web sitesi üyelerinin web sitesine giris yaptiklarinda baskasina ait üye bilgilerine ulasmasi suretiyle gerçeklesmistir. Kurul, kaç kisinin verilere eristiginin belirlenememesi, sitede yapilan degisikligin siteye en düsük girisin oldugu zaman diliminde degil yogun saat diliminde uygulamaya alinmasi, sifreleme ve maskeleme önlemlerinin alinmamasi hususlarini dikkate alarak 200.000 TL para cezasina hükmetmistir.
Yazi ilk olarak, Moroglu Arseven'in iki haftada bir yayimlanan bülteni MA | Gazette'de yer almistir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
