KİŞİSEL VERİLERİ KORUMA KURULUNDAN BİR BANKADA GERÇEKLEŞEN VERİ İHLALİNE İLİŞKİN KARAR

09 Ocak 2020

Kişisel Verileri Koruma Kurumu (“Kurum”), bir bankanın bünyesinde gerçekleşen veri ihlali hakkında Kurum’a iletilen Kişisel Veri İhlali Bildirim Formunun incelenmesi neticesinde verdiği 26.11.2019 tarih ve 2019352 sayılı kararını 08.01.2020 tarihinde web sitesinde yayınlamıştır.

Banka tarafından Kurum’a iletilen Kişisel Veri İhlali Bildirim Formunda;

  • Banka personeli tarafından iki farklı tarihte üç farklı müşterinin nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgilerinin şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) aynı personel tarafından mesnetsiz olarak görüntülendiği,
  • Bu kapsamda en az 6 müşterinin verilerinin Banka dışına çıkartılarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu ve menfaat sağlandığının kuvvetle muhtemel olduğu,
  • Söz konusu ihlalden etkilenen kişi sayının 6 (altı), kayıt sayısının 24 (yirmi dört) olduğu,
  • İhlal nedeniyle personel ile Banka arasındaki iş akdinin feshedildiği, personel ve olaya karışan tüm şahıslar hakkında Savcılığa suç duyurusunda bulunulduğu ve müşterilerin zararlarının Banka tarafından tazmin edildiği açıklanmıştır.

Bildirim üzerine yapılan inceleme neticesinde Kurul;

  • Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olmasına rağmen söz konusu ihlale kurumsal e-postadan veri sızıntısının neden olduğu, dolayısıyla alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
  • Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
  • İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
  • Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği,

hususları dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 inci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 70.000 TL, Kanunun aynı maddesinin (5) numaralı fıkrasına göre “en kısa sürede” (Kurul kararlarınca 72 saat olarak saptanmıştır)  bildirimde bulunma yükümlülüğüne uygun hareket edilmemesi sebebiyle de 30.000 TL olmak üzere toplamda 100.000 TL idari para cezasına hükmedilmiştir.

İlgili karar özetinin tam metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr