Karar Tarihi: 25/03/2021

Karar No: 2021/311

Konu Özeti: Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

İhlal Özeti

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

• 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
• Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
• Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,
• Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu,
• Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı,
• Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği,
• Bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu,
• Ancak bu süreçte alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü

ifadelerine yer verilmiştir.

Karar Özeti

• Kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayı belirtilemediği ve oluşan hatanın kampanya sırasında ve yoğunluğun yüksek düzeyde olduğu dakikalarda olmasından ötürü bu kişilerin kişisel verilerin çok sayıda kişi tarafından görünmüş olabileceği,
• Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı
• Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken önlemleri ancak ihlalden sonra almayı planladığı
• Yukarıda sayılan gerekçelerin veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediğinin göstergesi olduğu,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiş.

Kurumdaki Eksiklikler Neydi?

• Test işleminde kullanılan verinin hatalı olması
• Test yapılacak sürenin iş yoğunluğunun olduğu zaman denk gelmesi
• Kişisel verilerin maskelemesi ve şifrelemesinin yapılmaması. Maskeleme ve şifreleme işlemlerinin ihlalden sonra alınmaya başlanması
• Yapılan değişiklikler ile ilgili bir risk analizlerinin yapılmaması
• Müşterilerden çağrı gelene kadar yaşanan ihlalden haberdar olunamaması

Ne Gibi Önlemler Alınmalıydı?

• Test verisinin gerçek veriye yakın kapasiteye sahip olması gerekirdi.
• Yazılım geliştirme operasyonlarına ilişkin prosedür ve kuralların detaylandırılması gerekirdi. Prosedürde belirtilen adımlara göre aksiyon alınması gerekirdi.
• Test işleminin ne zaman gerçekleştirilmesi gerektiği ve ne gibi önlemler alınması gerektiğine ilişkin dokümante kurallar detaylandırılmalı ve uygulanmalıydı.
• Kişisel veriler, sadece ihtiyaç duyulan kadar görünebilmesi için maskelenmeliydi.
• Yazılım, sistem ve proje değişikliği / geliştirme işlemlerinde risk analizleri yapılmalıydı. Kişisel verilere olan etkisi ve alınması gereken önlemler geliştirme öncesine ele alınmalıydı.
• Yapılan değişikliklerin canlıya ortama alınmadan önce kabul testleri yapılmalıydı.