1. Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında 27/04/2021 tarihli ve 2021/426 sayılı Karar

E-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme sırasında e-ticaret sitesindeki partner firmaya yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların açtıkları bildirimlere erişim sağlaması söz konusu olmuştur. Bu husus partner firma tarafından Kişisel Verileri Koruma Kurumu'na ("Kurum") bildirilmiştir.

Yardım masası paneli hizmeti veren veri sorumlusunun ifadesini içeren tutanakta;

  • Veri ihlalinin toplu yetkilendirme esnasında SQL Script kodundaki hata sonucu oluştuğu,
  • Söz konusu hata sonucu partner firmanın yer aldığı gruba yanlış yetki verildiği ve bu sebeple kendi yardım masası bildirimleri dışında grup içindeki diğer firmaların da yardım masası bildirimlerine ulaşabildiği,
  • Veri sorumlusu tarafından yapılan analiz çalışması neticesinde sadece söz konusu partner firmanın kendisi haricindeki diğer yardım masası bildirimlerine erişim sağlandığı tespit edildiği;
  • Bu durumun fark edilmesi üzerine derhal partner firmaya ait yardım masası yetkisinin veri sorumlusu tarafından kaldırılıp erişimin engellediği;
  • Partner firma tarafından veri sorumlusuna atılan e-postada diğer firmalara ait bilgileri görebildiklerini, kendileri ile iletişime geçilmezse ihbarda bulunulacağını ve veri sorumlusunun çalışmakta olduğu firmalarla iletişime geçileceği ihtar edilerek, erişilen verilerin silinmesinin talep edildiği ve
  • Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilenmiş olduğu, veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile ilgili e-posta yoluyla bilgilendirme yapıldığı açıklanmıştır.

Yardım masası panelinin veri sorumlusunun kendisi tarafından kurulan ve yönetilen bir platform olduğu ve asıl veri sorumlusunun yazılım hizmetiyle ilgili bakım ve destek hizmeti sağladığı, diğer veri sorumlularının ise sınırlı erişime sahip olduğu ve doğrudan değişiklik yapamadığı değerlendirilmiştir.

İhlal ile ilgili 3 veri sorumlusu tarafından veri ihlal bildiriminde bulunulmuş. Bildirimde bulunmayan 10 veri sorumlusu hakkında ise Kurum tarafım resen inceleme başlatılmasına karar verilmiştir.

A) Kurul teknik ve idari tedbirler açısından yaptığı inceleme sonucunda;

  • Yardım masası paneli, yazılım firmasından hizmet alan veri sorumlularının kullanıcı adı ve şifresiyle yardım taleplerini ilettikleri bir platform olduğunu ve platform üzerinden verilen hizmetler açısından yazılım firmasının veri sorumlusu sıfatını haiz olduğunu;
  • Veri ihlalinden 13 farklı veri sorumlusunun ve 950'den fazla çalışanına ve müşterisine ait kişisel verilerin etkilendiğini;
  • Veri ihlalinin, hatalı yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli önlemi alamamasından kaynaklandığını;
  • Bilişim hizmeti yürüten veri sorumlusunun güvenlik konusunda daha dikkatli olması beklenildiği  ancak Yazılım geliştirmenin test platformunda yapılması gerekirken canlı ortamda yapılması ile ihlalin gerçekleştiğinin anlaşıldığını belirterek ve
  • Ayrıca kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığının tespit edildiğini vurgulayarak

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 12/1 çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurarak (ihlalden etkilenen 950'den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği), 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.

B) Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak;

Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alınarak Madde 12/5 kapsamında 72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği ve veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kurul tarafından 100.000TL idari para cezasının uygulanmasına karar verilmiştir.

C) Kuruma bilgi ve belge gönderimi kapsamında ise;

  • Bir kamu tüzel kişiliğini haiz veri sorumlusunun, söz konusu olay dahilinde kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurum'a herhangi bir cevap vermediği,
  • Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olay suç niteliği taşıdığı için Kurum tarafından resen incelemeye karar verilemeyeceği, olayın yargı organınca değerlendirilmesi gerektiğini iddia ettiği ve Kurum'a bir takım bilgi ve belge göndermiş olmakla birlikte; Kurul'un, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi Kurumumuza göndermemiş olduğu hususları göz önünde bulundurularak

Madde 15/3'te yer alan,"Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır." hükmü çerçevesinde Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda bu veri sorumlularının talimatlandırılmasına karar verilmiştir.

2. Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında 27/04/2021 tarih ve 2021/427 sayılı Karar Özeti

E-ticaret sitesindeki (veri sorumlusu) partner firmanın, sitedeki müşteri hizmetleri paneli üzerinden üçüncü kişi firmaların bilgilerine erişmesiyle yaptığı ihbar kapsamında Kişisel Verileri Koruma Kurulu ("Kurul") tarafından resen inceleme başlatılmıştır.

Partner firma Kurum'a iletmiş olduğu yazıda:

  • Partner firmanın elektronik adisyon takip sistemi ve dokunmatik bilgisayar ürünlerinin internet ortamında satılmasına ilişkin veri sorumlusu ile partner şirket olmak adına başvuruda bulunduğu ancak ürünlerini sisteme yüklerken giriş bölümünün aktif olmadığını fark etmesi üzerine müşteri hizmetlerinin de yönlendirmesi ile bildirim panelinden bildirim göndermeye çalışıldığını ancak sürekli hata alındığını;
  • Hatadan dolayı bildirim linkini tarayıcıya yazarak giriş yapmaya çalışıldığı akabinde veri sorumlusunun kullanmış olduğu müşteri hizmetleri paneline (CRM) erişildiği, ancak tekrar kullanıcı adı gibi bilgileri girdikten sonra da erişim sağlayamadıkları ve bu sebepleri şifrenin bloke olduğunu düşünerek yeni şifre talep edildiği, bu şifre ile giriş yaptıklarında ise veri sorumlusunun CRM paneline ulaşıldığı ve bu sebeple söz konusu sistem açığı hakkında veri sorumlusuna e-posta gönderilmiş olduğunu,
  • Konuya ilişkin veri sorumlusunun avukatının kendilerini aradığı ve sistem açığı bulunup bulunmadığına dair kontrol sağlamak amacıyla sisteme girdiğini gösterir bir senaryo hazırlayıp bu senaryoyu destekleyecek gizlilik sözleşmesi imzalayacaklarının belirtildiği ve ardından veri sorumlusunun ofisinde toplantı yapılarak bir gizlilik sözleşmesi imzalandığı açıklamıştır.

Veri sorumlusu veri ihlaliyle ilgili vermiş olduğu cevabında,

  • Pazar yeri modeli ile satış yapmak üzere kendilerine başvuran şahısların veri sorumlusu nezdinde satış yapabilmelerini teminen giriş yapmaları amacı ile kendilerine tahsis edilen kullanıcı adı ve şifre ile sisteme giriş yaptıklarını;
  • Kendilerine başvuran şahısların satış yapabilmeleri için tahsis edilen kullanıcı adı ve şifre ile sisteme giriş sağladıkları ve daha sonra sistemde açık bulduklarını, üçüncü kişiler konumundaki firmaların bilgilerine ulaştıklarını beyan ederek veri sorumlusuna başvurduklarını;
  • Akabinde veri sorumlusu ile şahıslar arasında firmanın sisteme ilk girdiği tarihten başlayacak şekilde gizlilik sözleşmesi imzalanmış olduğu ve sözleşme ile ilgili bu şahısların ellerindeki tüm verileri veri sorumlusuna teslim edeceklerini, ellerindeki verileri imha edeceklerini ve gizliliği en üst düzeyde sağlayacaklarını taahhüt etmiş olduklarını,
  • Sözleşmenin başlangıç tarihi olayın oluş tarihi olduğu için herhangi bir hukuka aykırı erişim bulunmadığını
  • İlgili bu şahısların veri sorumlusundan şantaj yolu ile para istemeleri neticesinde veri sorumlusunun herhangi bir ödeme yapmamış olduğu ve Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

ifade etmiştir.

A) Teknik ve idari tedbirler kapsamında yapılan inceleme neticesinde;

  • Veri sorumlusu  tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, sisteme giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ve erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda bahsi geçen "Gizlilik Sözleşmesi" öncesinde "veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığıhukuka aykırı erişimin meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı,
  • Veri sorumlusunca tedarikçi grubuna (firmanın da bulunduğu) "tüm bildirimlerde arama" yetkisi verilmesi sonucunda ihlalin oluştuğunun tespit edildiği, düzenli kontrolün sağlanmadığıveri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek zararları önlemek yönünde tedbirler alınmadığı göz önünde bulundurularak

Kanunu'nun 12/1 numaralı fıkrasında kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak, 600.000 TL idari para cezası uygulanmasına,

B) Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak yapılan incelemede sonucunda;

  • Veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmadığı, 
  • Kurul'a ihlal bildiriminde bulunulmadığı 

hususları dikkate alınarak madde 12/5 kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına;

  • Kuruma bilgi ve belge gönderimi kapsamında yapılan değerlendirme sonucunda ise;

Kanuna uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

3.  İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası hakkında 06/05/2021 tarihli ve 2021/470 sayılı Karar Özeti

İlgili kişi Kuruma iletmiş olduğu şikayetinde özetle; işvereni tarafından verilen yemek kartına ait hesap hareketlerinin tarafına iletilmesini veri sorumlusu Şirketten talep etmiş olduğunu, bu talebi üzerine veri sorumlusu tarafından ilgili kişi tarafından istenilen bilginin sağlanması için ilave bilgiler talep edildiği, ilave bilgilerin veri sorumlusuna (dilekçe ve kimlik ) e-posta ile iletildiği ancak ek güvenlik önlemi gerekçesiyle ekte paylaşılan dokümana erişebilmek için e-postadaki cep telefonu numarasının aranması gerektiği veri sorumlusu tarafından ifade edilmiş olduğundan ilgili kişi getirilen bu ek güvenlik önleminin hukuka aykırı olduğu ve şahsına ait verilere erişmesinin engellendiğini iddia ederek Kurum'dan Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Veri sorumlusu savunmasında;

  • İlgili kişinin veri sorumlusuna gönderdiği e-posta ile tüm hesap hareketlerini ve işlenen verileriyle ilgili açıklamaları talep ettiğini ancak yapılan inceleme neticesinde e-posta adresinin sisteme kayıtlı olmadığını ve kart numarasının hatalı olduğunu;
  • Talebin ilgili kişi tarafından istenip istenmediğinin teyit edilebilmesi için kimliğini doğrulayacak ek bilgiler istendiği ve veri sorumlusunun talebi üzerine ilgili kişi tarafından gönderilen e-postanın ekinde yer alan ıslak imzalı dilekçede bildirilen e-posta adresi ile bilgilerin paylaşıldığını ve
  • Ancak, ilgili kişi sistemde tanımlı olmayan ve "gmail" gibi altyapısı yurtdışında olan bir e-posta adresine kişisel verilerin gönderilmesini talep etmiş olduğundan, risk değerlendirmesi yapılarak güvenlik tesisi için talebi yanıtlanmış olup ayrıca dosya şifrelendiği için şifrenin verilmesi için doğrudan arayabileceği telefon numarasının bildirildiğini  ifade etmiştir.

Kurul yaptığı incelemede;

  • Kanun'un 11/1-b maddesi kapsamında ilgili kişiye tanınan kendisiyle ilgili işlenen kişisel verilere ilişkin bilgi talep etme hakkının veriye erişimi de kapsadığını;
  • Erişim hakkının esasen bilgi talep etme hakkını tamamlayarak ilgili kişinin kişisel verileri üzerindeki haklarını kullanabilmesi için kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkan sağladığını,
  • Diğer yandan, Kanun'un 12/1 maddesi gereğince veri sorumlusunun; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu;
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, veri sorumlusu ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun sonuçlandırmak için her türlü tedbiri almakla yükümlü olduğunu;
  • Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin, üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı; veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiğini değerlendirerek:

 Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kişisel verilerini içeren dosyanın alt yapısı yurtdışında olan "gmail" hesabına gönderileceği için bunların şifrelenerek gönderilmesi ile veri güvenliğinin en üst düzeyde sağlanmasının amaçlanmış olduğunu ifade ederek ve Google firmasına ait G-mail altyapısının kullanılması durumunda e-postaların dünyanın çeşitli yerlerindeki veri merkezlerinde tutulması söz konusu olacağından veri sorumlusunun aldığı ek tedbirlerin Kanuna aykırılık değil, kanunun titizlikle uygulanması olduğu sonucuna varmıştır.

Tüm bu değerlendirmelerinden hareketle Kurul ;

İlgili kişinin madde 11/1-b bendi doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen "gmail" adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine madde 12/1-b bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine kanaat getirdiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermişt

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.