Karar Tarihi: 09.07.2020

Karar No: 2020/530

Konu Özeti: Bir bankanın kişisel veri ihlali bildirimi

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• Bankanın denetim ekiplerinin aldıkları bir ihbar üzerine yaptığı inceleme sonucunda bir Banka personelinin, 23 adet Banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (KBB) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasında Whatsapp uygulaması aracılığıyla bir tanıdığı (3. kişi) ile paylaştığının tespit edildiği,
• Personelin 23 Banka müşterisine ait paylaşımlardan menfaat temin ettiğine dair somut bir tespite ulaşılmadığı,
• 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soyadı bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin ihlalden etkilendiği, özel nitelikli kişisel verilerin etkilenmediği,
• İhlalden etkilenen ilgili kişi gruplarının müşteriler olduğu,
• İhlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı

ifadelerine yer verilmiştir.

Karar Özeti

• İhlalden 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soy isim bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin etkilenmiş olduğunun belirtildiği; ancak ihlale sebebiyet veren personelin 01.01.2019-05.12.2019 tarihleri arasında 1.052 kişi için 10.529 adet KKB sorgulaması gerçekleştirdiği,
• Kişi sayısı göz önüne alındığında Kurumumuza gönderilen ekran görüntülerinde yer alan 23 kişiden daha fazla kişinin etkilenmiş olabileceği, söz konusu sorgulama miktarı ile aynı bölgede yer alan diğer personeller içerisinde kişinin 1. sırada olduğu, personelin bu husus ile ilgili makul bir açıklamasının olmadığı, veri sorumlusu tarafından da personelin müşterilere ilişkin bilgileri Banka dışına sızdırmış olabileceği yönünde şüphe oluştuğu,
• İhlal öncesinde veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı,
• İhlale sebebiyet veren kişinin bölge ortalamasından oldukça yüksek miktarda sorgulama yapması hususunun incelenmemesi ve durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmadığı,
• Veri sorumlusunca gerçekleştirilen “Kişisel Verilerin Korunması Kanunu Eğitimi”nin yeterli olmadığı

kanaatine varıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezasının uygulanmasına karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• Veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmaması
• İhlale sebebiyet veren kişinin bölge ortalamasından oldukça yüksek miktarda sorgulama yapması hususunun incelenmemesi
• Durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmaması
• Veri sorumlusunca gerçekleştirilen “Kişisel Verilerin Korunması Kanunu Eğitimi”nin yeterli olmaması

Ne Gibi Önlemler Alınmalıydı?

• Veri sorumlusu tarafından personelin KBB sorgularında limit belirlenmeliydi. Limit aşım durumlarında sistem otomatik olarak alarm üretmeliydi. Eğer önceden oluşturulmuş kurallar varsa, ilgili kurallarda sıkılaştırmalar yapılmalıydı.
• Müşterilere ilişkin yapılan sorgulamaların kısa periyotlarda takip ve kontrollerinin sağlanması ve bu kontroller sırasında karşılaşılan normal dışı durumlar tespit edilerek gerekli sorgulama ve soruşturmalar gerçekleştirilmeliydi.
• Kişisel Verilerin Korunması Kanunu kapsamında verilen eğitimlerin kapsamı genişletilmeliydi. İlgili eğitimde personelin bilgileri bilinçli olarak sızdırmaları durumunda karşılaşacakları cezai yaptırım hususları da eklenmeliydi.
• Kişisel verilerin bulunduğu ortamlar analiz edilmeliydi. Analiz sonucuna göre yetki sınırlandırmaları ve ihtiyaç kadar kişisel veri görme yapılmalıydı. Gerek görülen ortamlarda maskeleme yapılabilirdi