Duyurular

Kişisel Verileri Koruma Kurumu Bir E-Ticaret Platformunda Yaşanan Veri İhlaline İlişkin Olarak 3.250.000 TL İdari Para Cezası Uygulanmasına Karar Vermiştir

Kişisel Verileri Koruma Kurumunun (“Kurum”) tarafından, “Bir E-Ticaret Platformu Tarafından Kurula İntikal Ettirilen Veri İhlal Bildirimi” hakkında Kişisel Verileri Koruma Kurulunun (“Kurul”) 08/08/2024 tarih ve 2024/1385 sayılı karar özeti (“Karar”) resmi internet sitesinde yayınlanmıştır.

Karar’a göre;

  • Yetkisiz kişiler, diğer platformlardan elde ettikleri e-posta adresi bilgilerinin veri sorumlusunun satıcı portalında bulunup bulunmadığını portalda yer alan güvenlik eksikliğinden yararlanarak kontrol etmişler ve bu sayede ellerinde bulunan hesapların hangilerinin veri sorumlusunun satıcı portalında yer aldığını tespit etmişlerdir.

 

  • Satıcı portalına girişlerde “Bot” trafiğinin önlenmesi amacıyla her ne kadar bir uygulama kullanılıyor olsa da kullanılan uygulama yetkisiz kişiler tarafından kolaylıkla aşılabilir durumdadır. Bu nedenle karara konu uygulama, veri güvenliğini sağlamada yetersiz kalmıştır.

 

  • Aynı IP adresinden ihlalin başladığı gün ve takip eden günde çok sayıda farklı kullanıcı adına portala giriş yapılmasına rağmen veri sorumlusu tarafından veri ihlali bu tarihlerde tespit edilememiştir.

 

  • Veri sorumlusu tarafından veri ihlali ancak müşteriler ve satıcılardan gelen şikâyetlerden sonra tespit edilebilmiştir ve bu da ihlalin tespiti noktasında veri sorumlusunun geç kaldığının göstergesidir.

 

  • Veri sorumlusu tarafından ihlalden sonra alınan tedbirler kapsamında; satıcıların kullanıcı hesaplarına giriş yapmasının ardından bilgi değişikliği ve giriş yapma süreçlerine çift faktörlü kimlik doğrulama (2FA) aşaması eklenmiştir.

 

  • Veri sorumlusu, ihlal öncesinde alması gereken tedbiri ihlalden sonra almış ve veri güvenliğini sağlama yükümlülüğünü ihlal etmiştir.

 

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunun (“Kanun”) 12’nci maddesinin (1) numaralı fıkrasında yer alan “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan  veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak idari para cezası uygulanmalıdır.

Söz konusu değerlendirmelerle, Şirket hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 3.250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar’ın tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr