YayınlarımızSigorta Sektöründen Veri İhlal Bildirimleri

31 Mart 20210
https://www.hanyaloglu-acar.av.tr/wp-content/uploads/2021/03/pexels-sora-shimazaki-5926389-1280x853.jpg

Sigorta sektörünü ilgilendiren iki ayrı veri ihlali bildirimi, mart ayında Kurum’un web sitesinde yayımlanmıştır. Bildirimlerden biri, 29.03.2021 tarihinde 951 kişinin etkilendiği belirtilerek Generali Sigorta tarafından, diğeri ise 04.03.2021 tarihinde sistemine girilerek kripto para ile fidye istenildiği belirtilerek Oto Rapor Araç Muayene Ve Ekspertiz Hizmetleri A.Ş. tarafından gerçekleştirilmiştir. Bu iki ihlal bildirimini ayrı ayrı değerlendirelim.

Generali Sigorta A.Ş.’nin Veri İhlal Bildirimi

Söz konusu sigorta şirketinin veri ihlal bildiriminde;

  • Şirketin tamamlayıcı sağlık sigortası teklifi alınan internet sayfası üzerinden, TC kimlik numaralarının otomatik yazılımlar ve botlar aracılığıyla olağandışı sorgulanması suretiyle veri ihlali gerçekleştiği,
  • 03.2021 – 24.03.2021 tarihleri arasında gerçekleşen veri ihlalinin 24.03.2021 tarihinde tespit edildiği,
  • İhlal konusu sayfanın, ihlalin tespiti akabinde kullanıma kapatıldığı,
  • İhlalden etkilenen kişisel veri türlerinin ad-soyad, doğum tarihi ve cinsiyet bilgisi olduğu,
  • İhlalden 951 kişinin etkilendiği,
  • Veri sorumlusunun ihlale ilişkin incelemelerini sürdürdüğü belirtilmiştir.

Değerlendirmelerimiz

Kanaatimizce, Kurul’un söz konusu veri ihlal bildirimine ilişkin olarak inceleyeceği ilk husus, gerçekleşen ihlalin önlenebilir olup olmadığı, yani veri sorumlusunun ihlalin gerçekleşmesini önlemek için gerekli ve yeterli teknik ve idari tedbirleri alıp almadığı ve tedbir eksikliği mevcutsa, ihlal ile söz konusu tedbir eksikliği arasında illiyet bağı bulunup bulunmadığı olacaktır. Teknik ve/veya idari tedbirler ile önlenebilecek herhangi bir güvenlik açığından dolayı söz konusu ihlalin meydana geldiği tespit edilirse, KVKK’nın 12. ve 18. maddeleri uyarınca veri sorumlusu idari para cezasıyla cezalandırılabilecektir.

İhlalin 3 gün boyunca devam ettikten sonra tespit edilmesi, veri ihlallerinde saniyelerin bile ne kadar önem taşıdığı düşünüldüğünde, Kurul tarafından olumsuz yönde değerlendirilebilir.

İhlalden etkilenen kişi sayısının (951) fazla olması, ihlalin vehametini şüphesiz ki artırmaktadır. Ancak, ihlalden etkilenen kişi sayısı kadar, ihlalden hangi veri türlerinin etkilendiği de önem taşımaktadır. Söz konusu ihlalde etkilenen veriler arasında sağlık verisi, cinsel hayata ilişkin veri, ceza mahkumiyetine ilişkin veri gibi özel nitelikte kişisel verilerin bulunmaması; hem veri ihlalinden etkilenen ilgili kişilerin mağduriyetinin, hem de ihlalin ciddiyetin artmaması açısından olumludur.

Veri ihlaline ilişkin olarak Kurum’a veri sorumlusu tarafından bildirim yapılmış olmakla beraber; Kurum’un veri ihlal bildirimi ilan yazısında, ihlali ilan etme veya ilgili kişilere iletişim kanalları üzerinden ulaşarak ihlali bildirme benzeri, ilgili kişileri ihlalden haberdar edecek herhangi bir işlem yapıldığına ilişkin bir bilgi yer almamaktadır. Bu husus da dikkat çekicidir.

Oto Rapor Araç Muayene ve Ekspertiz Hizmetleri San. ve Tic. A.Ş.’nin Veri İhlal Bildirimi

Oto Rapor Araç Muayene ve Ekspertiz Hizmetleri San. ve Tic. A.Ş.’nin veri ihlal bildirimi, 04.03.2021 tarihinde Kurum’un web sitesinde yayımlanmıştır. Söz konusu veri ihlal bildiriminde;

  • 02.2021 tarihinde, veri sorumlusu şirkete, sistemlerine girildiğine ve bunun karşılığında kripto para olarak fidye istendiğine ilişkin bir e-posta gönderildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının henüz bilinmediği,
  • İhlalden etkilenen kişisel veri türlerinin kimlik, iletişim ve müşteri işlem bilgileri olduğu,
  • İhlalin kaynağının henüz tespit edilemediği ve veri sorumlusunun konuya ilişkin araştırmalarını sürdürdüğü belirtilmiştir.

Değerlendirmelerimiz

İhlalin gerçekleşmesinin sebebinin veri sorumlusu tarafından gerekli ve yeterli teknik ve idari tedbirlerin alınmaması olduğu tespit edildiği takdirde, veri sorumlusu aleyhine, KVKK’nın 12. ve 18. maddeleri uyarınca idari para cezasına hükmedilmesi olasıdır.

Bildirim konusu veri ihlalinde, veri sorumlusunun sistemlerine girildiğinin veri sorumlusu tarafından fark edilmemiş olması ve ihlalin ihlali gerçekleştirenler tarafından fidye istenmesi neticesinde öğrenilmiş olması, Kurul tarafından yapılacak incelemede, veri sorumlusu açısından olumsuz olarak değerlendirilecektir.

İhlalden etkilenen kişi ve kayıt sayısının henüz bilinmiyor olması, ihlalin boyutu ve ciddiyeti açısından isabetli yorum yapılmasının önüne geçmektedir. Ancak, ihlalden etkilenen kişisel veri türleri arasında özel nitelikli kişisel veri bulunmaması, hem veri sorumlusu, hem de ilgili kişiler açısından olumludur.

 

HANYALOĞLU – ACAR HUKUK BÜROSU

Av. Benay ÇAYLAK

Yorumlarınızı Paylaşın

Your email address will not be published. Required fields are marked *

https://www.hanyaloglu-acar.av.tr/wp-content/uploads/2020/05/wlogo1-320x89.png
Büyükdere Caddesi 239/9 Maslak 34398 İstanbul
+90 212 278 25 51
info@hanyaloglu-acar.av.tr

Bizi takip edin:

Danışmanlık Alın

Bütün hakları saklıdır.

© Hanyaloğlu & Acar Hukuk Bürosu 2020