| Karar Tarihi |
: |
25/02/2021 |
| Karar No |
: |
2021/154 |
| Konu Özeti |
: |
Bir sigorta şirketinin veri ihlal bildirimi hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
- Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
- İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği,
- İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği,
- İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu,
- İhlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
- Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/154 sayılı Kararı ile,
- İhlalin eski çalışanın işinden ayrıldıktan sonra çalışmaya başladığı şirketin ilgili birimleri tarafından tespit edilip veri sorumlusuna bildirdiği,
- İhlalden 544 müşteriye ait; kimlik, iletişim ve araç plaka numaralarının etkilendiği,
- DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının “Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği,
- Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımamasının “Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiği,
- İhlale konu e-posta gönderimlerinin; kasım ve aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada; DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği,
- İhlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı, bunun yanında eski çalışanın da içinde bulunduğu kullanıcılar grubuna bilgilendirmeler yapılmakla birlikte ilk bildirimde bilgilendirmede kişisel verilere ilişkin tanımlara yer verilip Kurumumuz internet sayfasında yer alan videoların bağlantısının paylaşıldığı, ikinci bilgilendirmede ise sadece ilgili kişilerin hak ve yükümlülüklerinin yer aldığı dikkate alındığında “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği
dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına
- İhlalin; 24.12.2019 tarihinde tespit edildiği ve 27.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı dolayısıyla Kanun kapsamında yapılacak bir işlem olmadığına,
- Öte yandan, veri sorumlusu tarafından bundan sonra ilgili kişilere yapılacak bildirimlerin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak yapılmasına dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
SONGMICS Ofis sandalyesi, çalışma masası sandalyesi, müdür koltuğuYüksekliği ayarlanabilir, ev ofisi, çalışma odası, krem beyazı, kamel kahverengisiAmazon'da İncele
Pelonis Ofis Tipi Uzaktan Kumandalı Vantilatör 36dB Sessiz Çalışma60-111cm Ayarlanabilir Yükseklik Dikey ve Yatay Eksende SalınımAmazon'da İncele
Lenovo LOQ 15ARP10E NotebookNVIDIA GeForce RTX 4050 6GB GDDR6 65W | AMD Ryzen 7 7735HS | 16GB DDR5 RAM | 512GB NVMe M2 SSD | FreeDOSAmazon'da İncele
Günlük Tarihsiz Spiralli PlanlayıcıA5 Boyutu 120 YaprakAmazon'da İncele
Pelonis Masa Fanı, 38dB Sessiz Çalışma 100° Dikey Hareket3 Kademeli Güç Seçeneği SiyahAmazon'da İncele
Apple iPhone 17 Pro 512 GBProMotion teknolojisine sahip 6.3 inç ekran, A19 Pro Çip, Çığır Açıcı Pil Ömrü, Center Stage Ön Kamera özellikli Pro Fusion Kamera Sistemi; Kozmik TuruncuAmazon'da İncele
Amazon Associate #reklam