Bir sigorta şirketinin, Kişisel Verileri Koruma Kurulu’na (‘Kurul’) yaptığı veri ihlal bildirimi neticesinde tesis edilen 24.11.2020 tarihli ve 2020/905 sayılı Kurul kararının özeti, Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanmıştır. İşbu kararda, Kurul, hem kişisel verilerin korunmasına ilişkin gerekli teknik tedbirlerin alınıp alınmadığını, hem de veri ihlalini takiben Kurul’a yapılan veri ihlal bildirimini değerlendirmesi neticesinde; iki hususta da hukuka aykırılık tespit ederek, veri sorumlusu aleyhine toplam 330.000 TL idari para cezasına hükmetmiştir. Bu önemli kararı birlikte inceleyelim.
Bir sigorta şirketinin internet sayfasının bulunduğu test sunucusunun siber saldırıya uğraması ve yetkisiz erişim sonucunda, uygulamanın bulunduğu veri tabanı silinerek, yerine fidye taleplerinin yer aldığı yeni bir veri tabanının sisteme yüklenmesi suretiyle, veri ihlali gerçekleşmiştir. Veri sorumlusu tarafından gerçekleştiği gün tespit edilen bu veri ihlalinden 311 kişi etkilenmiş; ihlalden etkilenen kişisel veri türlerinin, TC Kimlik Numarası, isim-soy isim, e-posta ve plaka bilgisi olduğu belirtilmiştir.
Kurul’un Teknik Tedbirlere İlişkin Olarak Yaptığı Değerlendirme
Veri sorumlusuna ait ‘BT Veri Güvenlik ve Veri İhlali Prosedürü’nde ‘periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi yaparak sistem açıklarının kontrol edilmesi gerektiği’ düzenlendiği halde, ihlale konu test sunucusunun yıllık sızma testleri kapsamına alınmamasının, test sunucularının kontrolünün gerektiği gibi ve prosedüre uygun bir şekilde yapılmadığının göstergesi olduğu,
Test sayfasının tüm dünyaya açık olmasının ve sisteme başarıyla girebilmek için 7 kez giriş denemesi yapılmasının yeterli olmasının, veri sorumlusunun kullandığı parolaların yeterince karmaşık ve güçlü olmadığı anlamına geldiği,
Veri sorumlusunun ihlal sonrasında kişisel veriler veri tabanına kaydedilmeden test işlemlerini yapabilmesinin; bu yöntem en başta denenseydi, gerçekleşen siber saldırıda kişisel veri ihlalinin söz konusu olmayacağını gösterdiği,
Veri ihlali öncesinde, test sunucusuna yapılan erişimlerde, sistemler arasında SSL, VPN gibi güvenli iletişim yöntemlerinin kullanılmadığı ve ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı,
İhlalden etkilenen kişisel veriler arasında bulunan ve ilgili kişiler için önemi haiz olan TC Kimlik Numarası şifrelenerek muhafaza edilseydi, yetkisiz erişim durumunda bile veri ihlalinin ilgili kişiler üzerindeki olumsuz etkisi azaltılabilecekken, veri sorumlusunun buna ilişkin bir eylemde bulunmadığı; yani veri sorumlusu tarafından kişisel verilerin gizlilik derecesine göre muhafaza edilmesine ilişkin yeterli özenin gösterilmediği sebepleriyle;
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘KVKK’) 12/1 fıkrası uyarınca, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusuna, 300.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurul’un Veri İhlal Bildirimine İlişkin Olarak Yaptığı Değerlendirme
Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararı uyarınca, veri ihlalinin öğrenilmesinden itibaren 72 saat içerisinde veri sorumlusu tarafından Kurul’a bildirim yapılması gerekmesine rağmen; 02.2020 tarihinde tespit edilen veri ihlalinin 04.03.2020 tarihinde Kurul’a bildirildiği; yani süreye riayet edilmediği,
Veri sorumlusu tarafından internet sitesinde veri ihlaline ilişkin duyuru yapılmış olmasının, ihlalden etkilenen ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,
Kurul’un 18.09.2019 tarihli ve 2019/271 sayılı kararına uygun olarak ilgili kişilere bildirim yapılmadığı sebepleriyle;
KVKK’nın 12/5 fıkrasında ‘en kısa sürede’ şeklinde ifade edilen ve Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararında 72 saat olarak belirlenen süre içerisinde veri ihlal bildiriminde bulunma yükümlülüğünün yerine getirilmemesi ve Kurul’un 18.09.2019 tarihli ve 2019/271 sayılı kararına uygun şekilde veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmamış olması nedenleriyle; veri sorumlusuna 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karara İlişkin Değerlendirmelerimiz
Veri güvenliği ve veri ihlaline ilişkin prosedür oluşturulmasına rağmen, bu prosedürde yer alan teknik tedbirleri gereği gibi uygulamayan veri sorumlusunun aleyhine idari para cezasına hükmedilmesi; kişisel veri uyum süreçlerinin prosedürler hazırlandığında sonlanmadığını, asıl önemli olan sürecin prosedürlere uygun bir biçimde faaliyet gösterilmesi olduğunu ortaya koymuştur.
Kurul’un, ihlale konu sisteme 7 kez giriş denemesi yapılması neticesinde sisteme erişim sağlanabilmesinin, veri sorumlusu tarafından yeteri kadar karmaşık ve güçlü bir parola oluşturulmadığına işaret ettiğini belirtmesi; veri güvenliğini sağlamak için sadece şifrelemenin yeterli olmadığını, şifrelerin yetkisiz kişilerin girmesini imkansıza yakın hâle getirecek karmaşıklıkta ve güçlü olması gerektiğini vurgulamaktadır.
SSL, VPN gibi güvenli iletişim yöntemlerinin ve ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmaması, Kurul tarafından teknik tedbirlere ilişkin bir eksiklik olarak kabul edilmiştir.
Gerçekleşen veri ihlalinin veri sorumlusu tarafından engellenmesinin mümkün olup olmadığı, Kurul’un değerlendirmesinde önemli yere sahip bir kriter olup; somut olayda, kişisel veriler veri tabanına kaydedilmeden test yapılabilmesi mümkün olduğu halde kişisel verilerin kaydedilmesinin; kişisel veriler veri tabanına kaydedilmeden de test işlemleri yapılabileceğinden, siber saldırı gerçekleşse de önlenebilecek bir ihlalin gerçekleşmesine sebep olduğu şeklinde değerlendirme yapılmıştır.
Ayrıca, Kurul, ihlalden etkilenen veri kategorilerine ilişkin olarak da, kanaatimizce önemli bir değerlendirmede bulunmuştur. İhlalden etkilenen veri kategorileri arasında bulunan TC Kimlik Numarası, özel nitelikli kişisel veri niteliğinde olmamakla beraber; kişiyi devlet nezdinde tanımlamaktadır ve kötüniyetli ve/veya yetkisiz kişilerin eline geçtiği takdirde kişi üzerinde ciddi olumsuz etkiler doğurabilecek niteliktedir. Bu sebeple, şifrelenerek korunmayan TC Kimlik Numarasının muhafazasına ilişkin olarak yeterli özenin veri sorumlusu tarafından gösterilmediğine karar verilmiştir. Bu değerlendirme, her ne kadar mevzuatta, doktrinde ve uygulamada kişisel veriler arasında ‘kişisel veri’ ve ‘özel nitelikli (hassas) kişisel veri’ ayrımı yapılmış ise de; özel nitelikli veri niteliğini haiz olmayan kişisel verilerin de, olası bir ihlalde ilgili kişiye vereceği zarar dikkate alınarak özel bir biçimde korunmasının gerekebileceğini ortaya koymuştur.
İnternet sitesi üzerinden veri ihlaline ilişkin duyuru yapılmasının, sadece ihlalden etkilenen ilgili kişilerin tespit edilememesi durumunda kabul edilebileceği ve somut olayda olduğu gibi, ilgili kişiler tespit edilebilmesine rağmen onlara direkt bildirimde bulunulmayarak sadece internet sitesinde ihlali duyurmakla yetinilmesinin, ilgili kişilere veri ihlal bildiriminde bulunma yükümlülüğünü yerine getirmiş olmak sayılmayacağı ve cezalandırılacağı da bu kararla netlik kazanmıştır.
31.01.2021
HANYALOĞLU & ACAR HUKUK BÜROSU
Av. BENAY ÇAYLAK
Kommentare