Sağlık sektöründe faaliyet gösteren bir firma, zararlı yazılım nedeniyle verilerinin ihlal edildiğini Kişisel Verileri Koruma Kurumu’na (Kurum) bildirmiştir. Ancak veri sorumlusunun makul teknik ve idari tedbirleri almış olması ve buna ilişkin belgeleri sunmuş olması nedeniyle, Kişisel Verileri Koruma Kurulu (Kurul) tarafından, Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında yapılacak ilave bir işlem bulunmadığına, yani ceza verilmemesine karar verilmiştir. Kişisel Verileri Koruma Kurulu’nun 09.10.2020 tarihli ve 2020/787 numaralı kararının özeti, Kurum’un internet sitesinde yayımlanmıştır. Birlikte inceleyelim.
Veri Sorumlusunun Kuruma Bildirimi:
Sağlık sektöründe faaliyet gösteren bir firmanın veri sorumlusu, kullandıkları ve dünya genelinde yaygın bir uygulamanın bulunduğu sunucuya, uygulamada bulunan açıktan istifade edilerek zararlı bir yazılım yüklenmesi suretiyle veri ihlali meydana geldiğini tespit ederek Kurum’a veri ihlal bildiriminde bulunmuştur.
Veri Sorumlusu;
İhlalden bir müşteri ve 199 tedarikçi olmak üzere 200 kişi ile 1187 kaydın etkilendiği,
İhlalden etkilenen kişisel veri kategorilerinin kimlik verisi, iletişim verisi ve müşteri işlem verisi olduğu,
Veri sorumlusunun veri kayıt sisteminde bulunan iletişim bilgileri vasıtasıyla ilgili kişilere Kurum’a yapılan ihlal bildirimini takiben en geç üç iş günü içerisinde bildirimde bulunacağı belirtilmiştir.
Kurul Tarafından Yapılan İncelemede:
İhlal ile ilgili olan çalışanlara ISO 27001 uyumu ve sertifikası kapsamında bilgi güvenliği eğitimlerinin zorunlu tutulması ve bu eğitimlerin her yıl güncel içerik ile tekrarlanması, işe yeni giren çalışanlara da oryantasyon kapsamında bu eğitimlerin verilmesi, eğitimlere ilişkin belge ve log kayıtlarının veri ihlal bildiriminin ekinde Kurul’a sunulması,
İhlalden önce, ağ ve uygulama güvenliği, bilgi teknolojileri sistemlerine ilişkin güvenlik önlemlerinin alınması, çalışanlar için yetki matrisi oluşturulması ve görevi değişenlerle işten ayrılanların yetkilerinin kaldırılması, erişim loglarının düzenli olarak tutulması, güncel antivirüs ve güvenlik duvarı kullanılması, kağıt yoluyla aktarılan veriler için ekstra güvenlik tedbirleri alınması, yedeklenen verilerin güvenliğinin sağlanması, kullanıcı hesap yönetimi ve yetki kontrol sisteminin uygulanması ve takibi, mevcut risk ve tehditlerin belirlenmesi, yıllık sızma testi uygulaması, kullanıcı bilgisayarlarının USB’lerinin kapalı durumda olması, veri kaybı önleme (‘data loss prevention’, ‘DLP’) yazılımı, saldırı tespit ve önleme sistemlerinin kullanılması gibi teknik tedbirlerin alınmış olması,
İhlalden önce, çalışanlar için veri güvenliğine ilişkin disiplin hükümlerinin mevcut olması, erişim/bilgi güvenliği/kullanım/saklama ve imha politikaları, kişisel veri güvenliği politikaları ve gizlilik taahhütnamelerinin uygulanması, veri güvenliği takibinin yapılması, kişisel verilerin mümkün olduğunca azaltılması (‘veri minimizasyonu’), veri güvenliği sorunlarının hızlıca raporlanması, kurum içi periyodik ve/veya rastgele denetimler yapılması, özel nitelikli kişisel verilere ilişkin protokol ve prosedürlerin uygulanması gibi idari tedbirlerin alınmış olması,
İhlal sonrasında, gerçekleşen ihlale istinaden, zararlı yazılımın bulunduğu sunucunun host edildiği lokasyonun dış bağlantılara kapatılması, şirket dış bağlantılarının kesilerek kontrollü olarak aktive edilmesi, adli bilişim yazılımları ile denetleme yapılması, zararlı yazılımlar için sunucular üzerinde forensic çalışması yapılması, siber istihbarat verilerinin analizi, gerçek zamanlı proses ve dosya hareketleri izlemeleri, yedekleme sisteminin kontrollü bir lokasyona taşınması, uç noktalarda tehdit ve güvenlik zafiyeti avcılığına yönelik çalışmaların sürdürülmesi; zararlı IP ve domainlerin belirlenmesi, sistem üzerindeki kalıcılık mekanizmalarının belirlenmesi, arka kapıların tespit edilmesi ve zararlı proseslerin tespit edilmesi işlemlerinin devam ettirilmesi gibi çeşitli teknik tedbirlerin alınmış olması,
İhlal sonrasında, gerçekleşen ihlale istinaden, Veri İhlali Müdahale Planı prosedürünün derhal olay özelinde uygulamaya alınması, yetkisiz erişim denemelerinin tespiti akabinde bilgi teknolojileri (IT) birimi tarafından tespit yapıldığı an Şirket Kişisel Verilerin Korunması Komitesi’ne raporlama yapılması, bu komite ve üst yönetim tarafından derhal bir veri güvenliği ekibi kurulması ve siber güvenlik alanında uzman bir firmanın yetkilendirdiği bir ekibin de sürece dahil edilmesi, Veri Sorumluları Sicili kaydına göre revize edilen politika, prosedür ve gizlilik taahhütlerinin güncel versiyonlarının çalışanlara iletilmesi, Veri Sorumluları Sicili kaydına göre revize edilen politikaların güncel versiyonlarının internet sitesinde yayımlanması gibi çeşitli idari tedbirlerin alınmış olması,
İhlal öncesi ve sonrası alınmış teknik ve idari tedbirlere ilişkin tevsik edici belgelerin veri ihlal bildiriminin ekinde Kurul’a sunulmuş olması göz önünde bulundurularak karar tesis edilmiştir.
Ceza Verilmemesinin Nedeni:
Kurul’un 09.10.2020 tarihli ve 2020/787 numaralı kararı ile;
İhlalin veri sorumlusunun tedbir eksikliğinden değil, yaygın kullanılan bir uygulamadan kaynaklandığı; veri sorumlusunun bu duruma müdahale edemeyeceği,
İhlalin kısa sürede fark edildiği,
İhlalden etkilenen verilerin, şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği,
İhlalden etkilenen kişilere üç iş günü içerisinde bildirimde bulunulacağının veri sorumlusu tarafından belirtilmiş olması,
İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olması,
Veri sorumlusunun makul teknik ve idari tedbirleri almış olması sebepleriyle; ihlale ilişkin ilgili kişilere bildirim yapıldığını tevsik edici belgelerin Kurum’a gönderilmesi suretiyle, işbu veri ihlal bildirimine ilişkin olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiş; yani ilgili veri sorumlusuna ceza verilmemiştir.
Sonuç olarak;
Veri ihlal bildiriminde bulunmuş olan veri sorumlusu hakkında ilave işlem yapılmasına gerek görülmemesi, yani ceza verilmemesi yönünde karar verilmiş olması; veri sorumlularının, bir veri ihlali ile karşılaşmaları bazı durumlarda kaçınılmaz olsa bile, ihlal öncesinde ve sonrasında kişisel verilerin korunmasına ilişkin olarak gerekli idari ve teknik tedbirleri aldığı takdirde, somut olayın koşullarının elverdiği ölçüde, Kurul tarafından cezalandırılmanın önüne geçebileceğini göstermesi açısından oldukça önemli bir gelişmedir. Ayrıca, bu karardan da açıkça anlaşılabileceği üzere, Kurul, veri ihlal bildirimlerini değerlendirirken ve ceza verilip verilmeyeceğini, ceza verilecekse de cezanın miktarını tayin ederken; ihlalin hem öncesinde hem de sonrasında gerekli teknik ve idari tedbirlerin alınıp alınmadığını dikkatle incelemektedir.
Bu kritere ilaveten, ihlalin nasıl meydana geldiği, ihlalin veri sorumlusunun tedbir eksikliğinden kaynaklanıp kaynaklanmadığı, ihlalin ne zaman fark edildiği, ihlalden hangi tür verilerin etkilendiği, ihlalden etkilenen kişilere öngörülen süre içerisinde bildirim yapılıp yapılmadığı ve söz konusu veri ihlali neticesinde ihlalden etkilenen kişiler için olumsuz sonuçlar doğup doğmayacağı gibi kriterlerin de dikkate aldığı ve kararı etkilediği görülmektedir.
HANYALOĞLU & ACAR HUKUK BÜROSU
Av. Benay ÇAYLAK
Kommentare