Karar Tarihi: 09.07.2020
Karar No: 2020/532

Konu Özeti: Bir sigorta şirketinin veri ihlal bildirimi hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• • Veri sorumlusunun bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu akıbet dosyası seçen sorgunun hatalı çalışması nedeniyle Otomatik Katılım Sistemi (OKS) kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren akıbet dosyalarını söz konusu hata sebebiyle yanlış alıcılara gönderdiği, 
• • Veri ihlalinden veri sorumlusunun müşterisi olan 61 şirketin toplam 367 çalışanın etkilendiği,  
• • Destek hizmeti sağlayıcısından iletilen bilgiye göre; hataya sebebiyet veren uygulama 2010 yılında geliştirilmiş olup geliştirmede eski bir programdan yararlanıldığı,
• • Yapılan geliştirme 2011 yılında devreye alındığı için, 2010 yılı ve öncesinde bu hata oluşmadığı,
• • Alt yapının ilk kez kurulmasından beri mevcut olan bir hatanın olduğu ve bu hatanın ilk kez içerisinde bulunduğumuz yıl bilgisinin son rakamının 0 (sıfır) olması sebebiyle gerçekleşebildiği, (Örneğin bu alt yapı, 2010 yılından önce geliştirilseydi ilk kez 2010 yılında karşılaşılacağı ancak 2010 yılından sonra geliştirildiği için ilk problem 2020’de yaşandığı),
• • İhlalden 367 gerçek kişiye ait kimlik (TCKN, ad soyad, doğum tarihi, SGK numarası), iletişim (telefon numarası, e-posta adresi), özlük (işe başlama tarihi) ve finans (IBAN numarası, katkı payı tutarı) verilerinin etkilendiği, 
• • İhlalden etkilenen kişilere ihlal sonrası e-posta ile bildirim yapıldığı, ihlalden etkilenme durumuna göre etkilenen kişi grupları 4’e ayrılarak her bir gruba ayrı bildirimler yapıldığı, 
• • Yanlış kişisel veri dosyasının gönderildiği 854 firmaya yapılan bildirim aramaları ve e-posta gönderimleri sonunda: 543 firmanın, verileri sildiklerine dair açık teyit verdiği, irtibat bilgilerindeki sorunlar nedeniyle ulaşılamayan bütün firmalara da ayrıca posta yoluyla yazılı olarak bildirim yapılmış ve yanlış bilgilerin kaydedilmiş ise silindiğine dair teyitlerinin beklendiği beyan ettikleri, 

ifadelerine yer verilmiştir.

Karar Özeti

• • Veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığında belirtildiği üzere veri ihlaline sebep olan yazılımdaki sistemsel hatanın veri güvenliğinin sağlanması amacıyla sürekli olarak takibinin gerektiği,
• • İhlale konu olayın gerçekleşme tarihi (01.01.2020) ile tespit tarihi (06.01.2020) arasında 5 günlük bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
• • İhlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmaması durumu ihlal bildiriminde belirtilse de sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğinden, veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği, 

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlale sebep olan hatanın istisnai bir durum olması ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezasının uygulanmasına,

• • İhlale sebep olan sistemdeki hatanın 01 Ocak 2020 tarihinde gerçekleştiği, 06 Ocak 2020 tarihinde tespit edildiği, 08 Ocak 2020 tarihinde Kurumumuza veri ihlal bildiriminde bulunulduğu, bu durumda Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
• • Veri sorumlusu tarafından ilgili kişilere posta göndermek suretiyle bildirim yapıldığı, söz konusu metnin tarafımızla paylaşıldığı

dikkate alındığında, veri sorumlusunun bildiriminin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne uygun olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca yapılacak bir işlem bulunmadığına 

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• • Veri Sorumlusu tarafından tedarik edilen uygulama sistemindeki girdilerinin doğru ve uygun olduğuna dair kontrollerin sürekli olarak yapılmaması.
• • Veri Sorumlusu tarafından tedarik edilen uygulama sistemindeki hataların, sistem yayına alınmadan önce test ortamında belirlenememesi.
• • Veri Sorumlusu tarafından uygulamadan çekilen raporların sık periyotlarla çekilmemesi.

Ne Gibi Önlemler Alınmalıydı?

• • Veri Sorumlusu tarafından uygulamadaki girdilerin doğru ve uygunluğuna dair sürekli kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmeliydi.
• • Veri Sorumlusu tarafından tedarik edilen uygulama sistemindeki hataların belirlenebilmesi için yayına alınmadan önce test ortamında zafiyet kontrolleri ve gerekli validasyon işlemleri yapılmalıydı.
• • Veri Sorumlusu tarafından uygulamadan çekilen raporlar, veri sorumlusunun işlediği kişisel verilerin hassasiyeti gereği daha sık periyotlarda çekilmeli ve kontrol edilmeliydi.
• • Veri Sorumlusunun güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete ivedilikle geçmesi gerekirdi.