TEKNOPARK VE AR-GE / TASARIM MERKEZLERİ İÇİN COVİD-19 KAPSAMINDA BEYAN EDİLECEK DIŞARIDA GEÇİRİLEN SÜRELER TEMMUZ AYINDA DA UYGULANABİLECEK
7 Temmuz 2021İNCELEME İŞLEMLERİ DEVAM EDENLER; VERGİ İNCELEME RAPORU VERGİ DAİRESİNE ULAŞMADAN MATRAH ARTIRIMINI YAPMASI GEREKLİDİR!
13 Temmuz 2021
“Bir bilişim şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı Karar Özeti
Veri Sorumlusunun Kuruma ilettiği ihlal bildiriminde özetle;
- Veri sorumlusu Şirketin sistemlerine siber saldırı gerçekleştirilerek sistemlerinde yer alan verilerin elde edilmeye çalışıldığı ve debugging özelliğinin açık olmasının sebebinin sisteme internet üzerinden erişilerek geliştirmelerin yapılmasına olanak sağlamak olduğu, ancak bu durumun internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı,
- Müşteri ve potansiyel müşterilere ilişkin sistemde yer alan kayıtlarında sözleşme ve içinde imza sirküleri, vergi levhası ve kişi kimlik fotokopisi kayıtlarının bulunduğu başvuru dosyalarının yer aldığı,
- Sistemde ayrıca kredi kartı bilgisi yer aldığı, ancak bu kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece bir kısmının aktif olduğunun tespit edildiği,
- Saldırganların hangi verilere eriştiklerinin tespit edilemediği, sistemde yer alan verilerin kimlik, iletişim, işlem güvenliği (kullanıcı adı ve parola bilgileri), ödeme Bilgileri (kredi kartı numarası) olduğu,
- Veri ihlalinden doğrudan etkilenen özel nitelikli bir veri bulunmadığı, ancak tüzel kişi müşterilerin imza sirkülerinin ekinde yer alan eski kimlik fotokopilerinde kan grubu ve din bilgisi hanelerinin bulunduğu ve bazı imza sirkülerinde kimlik fotokopisinin arka yüzünün de yer alabildiği dikkate alınarak; bazı müşteriler için saldırganların bu verilere de erişme ihtimali olabileceği,
Belirtilmiştir.
Kişisel Verileri Koruma Kurulu
- Veri sorumlusunun ödeme sistemini değiştirmiş olmasına rağmen sistemde bulunan kredi kartı bilgilerini imha etmeyerek “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerini ihlal ettiğini,
- Veri sorumlusu tarafından Kurumumuza gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğu,
- Veri sorumlusunun herhangi bir aydınlatma metninin bulunmadığı göz önüne alındığında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerini yeterli seviyede yerine getirmediği kanaatine varıldığı,
- Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu
Değerlendirmesinde bulunarak idari para cezası uygulamıştır.
“Bir otoyol işletmesinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2021/464 sayılı Karar Özeti
Veri Sorumlusunun Kuruma ilettiği ihlal bildiriminde özetle;
- İhlalin; çalışanların kendi rıza ve talepleri ile yazılı ve imzalı olarak veri sorumlusuna ilettikleri kişisel e-posta adreslerinin sisteme işlenmesinden sonra bordro programı üzerinden bu hesaplara gönderilen bordrolarda, gönderilen kişilerin kendisine ait olmayan ancak aynı şirket çalışanı olan başka çalışanlara ait bordroyu ve dolayısıyla başkasına ait ad, soyad, TC Kimlik No ve sicil numarası görüntülemesi şeklinde gerçekleştiği, maaş bilgisinin ise herkeste aynı jenerik bilgisinin görüntülendiği,
- İhlalin sistemsel bir hata sebebiyle hatalı e-posta gönderimi neticesinde meydana geldiği ve bu teknik hatanın da bordro sisteminde Türkçe dili için bir cihaz türü tanımlı olmaması nedeni ile programın bordro zarflarını anlık göndermek yerine öncelikle kuyruğa gönderip oradaki kayıtları sonrasında e-posta atmak yöntemini kullanması nedeniyle yaşandığı,
Belirtilmiştir.
Kişisel Verileri Koruma Kurulu
- Veri sorumlusunun çalışanların kurumsal e-postalarına gönderilmemiş olması sebebiyle çalışanlara yanlışlıkla giden bordroların silinip silinmediğinin kişisel e-posta hesaplarından (birçok e-posta sunucusu içerdiği için) kontrol imkânı bulunmadığından ihlalin, aslında veri sorumlusunun belirttiği gibi sadece teknik aksaklık değil; söz konusu çalışanlara kurumsal e-posta hesabı açmayarak ve bu hesaplar üstünden bordro gönderimi yapmayarak ihlalin idari eksiklikten de kaynaklanmasına sebep olunduğu ve ihlale konu olan riskin veri sorumlusu tarafından değerlendirilmediği,
- Veri sorumlusu tarafından aydınlatma yükümlülüğüne uyularak ve ilgili kişilerin açık rızası alınarak e-postaların gönderildiği belirtilmekle birlikte aydınlatma metninin ilgili kişileri bu hususlara ilişkin olarak yeterince bilgilendiren bir metin olmadığı ve kişilere herhangi bir başka seçenek bırakmadığının görüldüğü,
- Veri sorumlusu tarafından Kurumsal e-posta hizmeti alınmadan çalışanların şahsi e-posta hesaplarının çalıştıkları işlerle ilgili e-posta gönderiminde kullanılmasının verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler üzerinde kontrol kaybına neden olabileceği
Değerlendirmesinde bulunarak idari para cezası uygulamıştır.
“Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında” Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Karar Özeti
Veri Sorumlusunun Kuruma ilettiği ihlal bildiriminde özetle;
- İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,
- Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı
Belirtilmiştir.
Kişisel Verileri Koruma Kurulu
- Veri sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin etmediği, bu nedenle bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını belirtildiği, ayrıca veri işleyenin herhangi bir şekilde denetlenmemesinin,
- Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olmasının,
- Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamakta olmasının
Kişisel Veri Güvenliği Rehberi’ne aykırılık teşkil ettiği değerlendirmesinde bulunarak idari para cezası uygulamıştır.
“Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 30.06.2020 tarih ve 2020/511 sayılı Karar Özeti
Veri Sorumlusunun Kuruma ilettiği ihlal bildiriminde özetle;
- İlgili kişilerin kimlik ve ilaç kullanım bilgilerinin yer aldığı bir excel dosyasının oluşturulduğu, söz konusu dosyada yer alan bilgilerin provizyon uygulamasına kişi bazlı olarak girilir iken ilgili dosyanın aynı zamanda provizyon sistemine entegre olarak çalışan doküman yönetim sistemine excel dokümanı olarak sehven bütün halinde yüklendiği,
Belirtilmiştir.
Kişisel Verileri Koruma Kurulu
- 25.04.2019 tarihinden 07.12.2019 tarihine kadar açıklığın devam ettiği ve dosyaya erişim sağlayan kişi tarafından bilgilendirilinceye kadar veri sorumlusunun açıklığı tespit edememesinin,
- Düzenli olarak zaafiyet taramalarının yapılmamasının,
- Veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almamasının,
- “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında belirtilen tedbirlerin göz önünde bulundurulmadığı hususunun,
Kişisel Veri Güvenliği Rehberi’ne aykırılık teşkil ettiği değerlendirmesinde bulunarak idari para cezası uygulamıştır.
“Bir Bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 29.09.2020 tarih ve 2020/744 sayılı Karar Özeti
Veri Sorumlusunun Kuruma ilettiği ihlal bildiriminde özetle;
- Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği,
- Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı
Belirtilmiştir.
Kişisel Verileri Koruma Kurulu
- İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu
- Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesi sebebiyle veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu
Değerlendirmesinde bulunarak idari para cezası uygulamıştır.
KVKK hakkındaki güncel haberler ve makaleler için KVKK e-mail listemize üye olabilirsiniz. Üye olmak için lütfen kvkk@sistemglobal.com.tr adresine katılma talebinizi iletiniz.
Bilgiyi Tecrübeyle Güce Dönüştürüyoruz…
