Kişisel Verileri Koruma Kurumu, kendi internet sitesinde kampanya paylaşımı yapan bir firmanın yapmış olduğu ihlal bildirimi sonrasında ilgili firmaya inceleme başlattı. Yapılan inceleme neticesinde, 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu gibi gerekçelerle ilgili kozmetik firmasına para cezası verdi.

Verilen karar incelendiğinde; firmanın Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini almadığı, veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediği tespit edilmiştir. Dolayısıyla firma tarafından gerçekleşen veri ihlali gerekçesiyle firma 200 Bin TL para cezasına maruz kaldı.

İlgili karar metni aşağıdaki şekildedir;


“Bir kozmetik şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Karar Özeti

Karar Tarihi : 25/03/2021
Karar No : 2021/311
Konu Özeti : Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde; 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,

Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,

Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,

Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu,

Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı,

Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği,

Bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu,

Ancak bu süreçte alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

Kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayı belirtilemediği ve oluşan hatanın kampanya sırasında ve yoğunluğun yüksek düzeyde olduğu dakikalarda olmasından ötürü bu kişilerin kişisel verilerin çok sayıda kişi tarafından görünmüş olabileceği,

Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı, açıklanan bu durumların Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında belirtilen “Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.” ifadelerine uygun düşmediği,

Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı

Yukarıda sayılan gerekçelerin veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediğinin göstergesi olduğu, dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kuruma bildirimde bulunduğu,

Veri sorumlusu tarafından veri ihlaline ilişkin bildirim yapılması amacıyla ilgili kişilere e-posta gönderildiği, gönderilen e-postanın Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurları taşıdığı dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca, bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

Editör: TE Bilişim