TEKNİK SERVİSİN GÜVENLİK AÇIĞINA 200.000 TL İDARİ PARA CEZASI

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 14.02.2019 tarihli - 2019/23 sayılı Kararı ve 05.03.2019 tarihli – 2019/52 sayılı Kararı ile, teknik servis hizmeti sağlayan firma hakkında, ihbar üzerine gerçekleştirilen inceleme neticesinde;  

  • Teknik servis hizmeti sağlayan veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği ve form numarası sorgulaması ile ilgili kişilerin kendi telefonlarının servisteki diğer kişilerin numaralarına erişebildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği,
  • Yapılan incelemede bu yolla, ilgili kişilerin, isim, soy isim, adres ve sahip oldukları cihazın IMEI numarası bilgilerine erişim sağlanabildiği tespit edilerek,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m.12/f.1 hükmünde öngörülen kişisel verilerin güvenliğinin sağlanması için gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket edildiği belirtilerek ve söz konusu hukuka aykırılığın karar tarihi itibariyle de devam ettiği dikkate alınarak;
  1. KVKK m.18 uyarınca 150.000 TL tutarında idari para ceza uygulanmasına,
  2. Söz konusu hukuka aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  3. KVKK m.15/f.7 uyarınca, söz konusu aykırılığın giderildiği hususunun Kurul’a tevsiki sağlanıncaya kadar Karar’da yer alan linklerin kullanımının durdurulmasına karar verilmiş ve devamında bu Kararın ilgili firmaya tebliğ edilen Karara uygun hareket edilmemesi ve hukuka aykırılıkların devam ettirilmesi sonucunda;
  • KVKK m.15 hükmüne aykırı olarak Kurul Kararını yerine getirmeyen firma hakkında KVKK m.18 uyarınca 50.000 TL idari para cezası uygulanmasına,
  • Firmaya ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmemesi sebebiyle, bu sistemin değiştirilmesi ve halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda firmanın talimatlandırılmasına karar verilmiştir.

İlgili Kararın tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr