SİBER SALDIRIYA UĞRAYAN SİGORTA ŞİRKETİNE KİŞİSEL VERİLERİ KORUMA KURUMUNDAN 330.000 TL İDARİ PARA CEZASI

30.01.2021

Kişisel Verileri Koruma Kurulunun (“Kurul”)bir sigorta şirketinin veri ihlali bildirimi” konulu, 4.11.2020 tarih ve 2020/905 sayılı karar özeti Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sayfasında yayınlanmıştır.

Karara Konu Olay : Söz konusu karara konu olayda veri sorumlusunun internet sayfasının bulunduğu test sunucusu siber saldırıya uğramış ve bu siber saldırı sonucunda gerçekleşen yetkisiz erişim sebebiyle uygulamanın bulunduğu veri tabanı silinerek bu veri tabanının yerine fidye taleplerinin bulunduğu yeni bir veri tabanı sisteme yüklenmiştir. Veri sorumlusunun bildirimine göre; bu şekilde gerçekleşen veri ihlalinden 311 kişi etkilenmiş ve ihlalden etkilenen kişisel veriler, T.C. kimlik no, isim, soy isim, e-posta, plaka bilgisi şeklinde olmuştur.

Kurulun Değerlendirmeleri : Veri sorumlusunun veri ihlali bildirimi doğrultusunda Kurul tarafından gerçekleştirilen incelemede;

  • Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde yer alan tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği ve ilgili test sunucularında sızma testlerinin yaptırılmadığı,
  • Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı,
  • Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel veri ihlalinin söz konusu olmayacağının görüldüğü,
  • Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı,
  • Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği,
  • İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği dikkate alındığında Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı,
  • Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,
  • Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı[1]

Tespit ve değerlendirmelerinde bulunulmuştur.

Kurulun Kararı :   Yukarıda yer verilen tespit ve değerlendirmeler neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) m.12/f.1 hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri alınmamış olması sebebiyle Kanun’un m.18/f.1-(b) bendi uyarınca 300.000 TL,
  • Kanun’un m.12/f.5 hükmünde yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması sebebiyle Kanun’un m.18/f.1- (b) bendi uyarınca 30.000 TL

olmak üzere veri sorumlusu hakkında toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu karar özetine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı. İlgili Karara buradan ulaşabilirsiniz : https://kvkk.gov.tr/Icerik/5547/2019-271