Karar Tarihi: 07.05.2020

Karar No: 2020/359

Konu Özeti: Bir bankanın veri ihlali bildirimi hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• • İhlalin; KKB (“Kredi Kayıt Bürosu”) ekranında, Veri Sorumlusu Banka’nın eski çalışanının işin gereğinden fazla adette sorgulama yapılması ile gerçekleştiği, çalışanın ifadesine göre; T.C. kimlik numaraları Banka dışından 3. şahıs tarafından iletilip kişilerin kredi skorlarının öğrenilmek istenildiği,
• • İhlalin yıllık periyotlarla hazırlanan kontroller neticesinde veri ihlalini gerçekleştiren çalışanın işin gereğinden fazla adette sorgulama yaptığının fark edilmesi üzerine hazırlanan Teftiş Raporu ile; çalışanın KKB sorgulamalarını ilgili kişilerin gıyabında gerçekleştirdiği, KKB sorgulamalarını gerçekleştirdiği esnada cep telefonu ile ilgilendiği ve KKB sorgulamalarını yaptıktan hemen sonra bir kağıda not aldığı, bazı tarihlerde bu kağıdın fotoğrafını çektiği ve/veya cep telefonu ile yazıştığının tespit edilmesiyle anlaşıldığı,
• • İhlalin Temmuz 2018 ile Mayıs 2019 tarihleri arasında gerçekleştiği,
• • İhlalden veri sorumlusunun müşterisi olan ve müşterisi olmayan toplam 5695 kişinin etkilendiği,
• • İhlalden etkilenen kişisel verilerin, şahısların bankalardan kullanmış oldukları tüm kredili ürünlere ilişkin geçmişleri, ödeme performansları ve borç rakamları, adres, telefon vb. olduğu

ifadelerine yer verilmiştir.

Karar Özeti

• • 7305 adet KKB sorgulaması yapıldığı, bu sorgularda 5889 adet TC kimlik numarası sorguladığı, (mükerrer olanlar elendikten sonra 5695) bu TC kimlik numaralarının 3038’inin Banka müşterilerine ait olduğu, 2851’inin Banka müşterisi olmadığı,
• • Veri ihlalinin Temmuz 2018 ile Mayıs 2019 arasında gerçekleştiği, ihlalin anlaşılmasını sağlayan KKB sorgulama sayısının tespit edilmesine yönelik kontrolün yıllık periyotlarla yapılıyor olması nedeniyle ihlalin 1 yıla yakın süre boyunca devam ettiği ve ancak 18 Temmuz 2019 tarihinde tespit edilebildiği hususlarının, “Kişisel Veri Güvenliği Rehberi”nin (Teknik ve İdari Tedbirler-Rehber) “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan ifadelere aykırı olarak veri sorumlusu tarafından kişisel verilerin korunmasına ilişkin kişisel veri güvenliği takibinin uygun zaman aralıklarıyla yapılmadığının göstergesi olduğu, 
• • Veri sorumlusu tarafından ihlal öncesi yapılması gereken; kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi gibi kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının Rehber’in “Kişisel Veri İçeren Ortamların Güvenliğinin sağlanması” başlığı altındaki ifadelere aykırı olarak ilgili teknik ve idari tedbirlerin ihlalin öncesinde yeterince alınmadığının göstergesi olduğu, 
• • Veri ihlalinden önce sorgulanabilecek kişi sayısının sınırlandırılmamış olduğu ve ancak ihlalin gerçekleşmesinden sonra 250 üzerinde sorgulama yapan kullanıcıların kamera kayıtları incelenerek veri ihlali oluşturacak bir durum olup olmadığının kontrol edildiği hususunun,  Rehber’in “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan ifadelere aykırı sorgulamada sınırlama (kota) bulunmamasından kaynaklandığı, 
• • Veri sorumlusuna ait çalışanlar için veri güvenliği ve Kişisel Verilerin Korunması Kanunu konusunda belli aralıklarla eğitim ve farkındalık çalışmalarının yapıldığı, çalışanların %86’sının konuyla ilgili bilgilendirme eğitimini tamamladığı, kalan kişilere ise eğitimin tekrar iletildiği ifade edildiği ancak bu hususta tevsik edici belge gönderilmediği hususlarının, Kişisel Verilerin Korunması Kanununun 2016 yılında kabul edildiği, Rehber’in 2018 yılının ocak ayında yayımlanmış olduğu ve “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altındaki  ifadelere aykırı olarak gerçekleşen çalışanlara eğitim verilmesinin halen sağlanmadığı

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL,

• • 18.07.2019 tarihinde tespit edilmiş olan ihlalin 31.07.2019 tarihinde Kurula bildirildiği, geç bildirim sebebi olarak belirtilen Teftiş Raporunda yer alan bilgilerin hangilerinin paylaşıldığının net olmadığının ifade edilmesi, eldeki delillerin yetersizliği, olayın mahiyetinden emin olunmaması, müşteri şikayeti olmaması, dışarıdan gelen T.C. Kimlik numaralarına istinaden bu durumun ortaya çıkması gibi sebeplerle, bildirim gerekip gerekmediğinin kurum içinde değerlendirilmesi ve tüm ilgili ünitelerden görüş alınmasından kaynaklandığı sebebinin, 24.01.2019 Tarih ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’nda yer alan “…Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına…” ifadeleri göz önünde bulundurulduğunda ilgili sebeplerin Kurula geç bildirimde bulunulması için geçerli bir mazeret niteliği taşımadığı,
• • Veri ihlalinden etkilenen 5695 kişi arasında sadece Bankada iletişim bilgileri bulunanlara veri ihlal bildiriminde bulunulduğu, bu kapsamda ilgili kişilerin tamamına bildirimde bulunmak adına makul çaba sarf edilmediği ve Kurumumuz tarafından talep edilmesine rağmen ihlalin bildirildiği kişi sayısının ve bu kişilerin Banka müşterisi olup olmadığına hususlarına dair Kurumumuza bilgi verilmediği

hususları dikkate alındığında; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL 

olmak üzere toplam 450.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• • İhlal olayının Veri Sorumlusu tarafından uzun süre sonra tespit edilebilmesi güvenlik kontrollerinin yeterli sıklıkta yapılmadığının, dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kalması.
• • Veri Sorumlusu tarafından ihlal olayının Kişisel Verileri Koruma Kurulu’na geç bildirilmesi
• • Veri Sorumlusunun çalışanlarına kişisel veri güvenliğine ilişkin rol ve sorumlulukları konusunda yeterli farkındalık sağlayamaması.
• • Veri Sorumlusu tarafından kişisel veri güvenliğine ilişkin politikaların etkin şekilde uygulanamaması.
• • Veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmaması
• • İhlale sebebiyet veren kişinin bölge ortalamasından oldukça yüksek miktarda sorgulama yapması hususunun incelenmemesi
• • Veri sorumlusunca gerçekleştirilen Kişisel Verilerin Korunması Kanunu ile ilgili farkındalık eğitiminin yeterli olmaması
• • Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınmaması.
• • Veri sorumlusu tarafından mevcut risk ve tehditlerin yeterlince belirlenmemesi.

Ne Gibi Önlemler Alınmalıydı?

• • Veri Sorumlusu tarafından idari ve teknik tedbirlerin etkin bir şekilde uygulanması ve kurum kültürü haline getirilmesi gerekirdi.
• • Veri Sorumlusu tarafından gerçekleştirilen veri güvenliği tedbirlerinin daha sık periyodlarla uygulanması gerekirdi. Örneğin; KKB ekranında meydana gelen sorgular limitlendirilmeli ve limit aşımlarına otomatik bir uyarı sistemi olmalıydı.
• • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi) ve güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanarak çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekirdi.
• • Veri Sorumlusu tarafından mevcut riskleri belirlerken güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıydı. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeliydi. Risk analizlerini gerçekleştirilirken, uygulama riskleri, fiziksel riskler, donanımsal riskler ve en önemlisi çalışanlar ile ilgili meydana gelebilecek riskler kapsamlı olarak ele alınmalıydı.
• • Veri Sorumlusu tarafından kurumdaki farkındalık artırılarak ihlal olayının daha erken tespit edilmesi gerekirdi. Çalışanlara sorumlulukları eğitimlerde daha detaylı verilebilirdi.
• • Veri Sorumlusunun olası ihlal olaylarının önüne geçebilmek için kurum çalışanlarının farkındalığını artırmalıydı. Örneğin benzer iş kollarında yaşanan ihlal olayları kurum çalışanlarına duyurulabilirdi. Eğitimler ile desteklenebilirdi.
• • Kişisel Verilerin Korunması Kanunu ile ilgili farkındalık eğitimlerinin kapsamı genişletilmeliydi. İlgili eğitimde personelin bilgileri bilinçli olarak sızdırmaları durumunda karşılaşacakları cezai yaptırım hususları da eklenmeliydi.
• • Personelin görevleri sırasında bilgiyi sızdırabilecekleri ortamların önüne geçilmeliydi.