Kaza Tespit Tutanağı İle Bilirkişi Raporu Arasında Çelişki Olması

Kişisel Verilerin Güvenliğinin Sağlanamaması Durumunda Ne Olur?

Şirket tarafından Kurumumuza iletilen bildirimin incelen­mesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Kararı ile;

Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağma sızılarak gerçekleştirilmesi şeklinde olduğu,

Etkilenen kişisel verilerin;

Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri

Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi (DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi (DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No (DB-Veri tabanı seviyesinde şifreli), cinsiyet olduğu,

Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmadığı,

Genel alanlarda bulunan bir çalışan bilgisayarına Şirket ça­lışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğu,

Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,

Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesi­nin sağlandığı ve güvenlik duvarının güncel durumda bulun­mamasının teknik bir eksiklik olduğu,

Çalışanların ihlal gerçekleştikten sonra güvenlik eğitimi­nin sağlandığı ve daha önce böyle bir eğitim almadıkları an­laşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi ol­duğu,

îhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmeme­sinin teknik bir eksiklik olduğu, – Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,

Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer bi­rimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışma­dığı ve işlemediğinin bir göstergesi olduğu

Dikkate alınarak;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Ka­nun) 12’nci maddesinin (1) numaralı fıkrasında yer alan “..veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) nu­maralı fıkrasında yer alan “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda­dır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,

Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12’nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygu­lanmasına

Karar verilmiştir.

CategoryGenel
Yorum Yazın:

*

E-posta hesabınız yayımlanmayacak.

Call Now Button
WhatsApp chat