Karar Tarihi: 20.01.2020

Karar No: 2020/50

Konu Özeti: Bir perakende giyim firmasının kişisel veri ihlali bildirimi

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
• • Kurumumuza veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik olarak silinmiş olduğuna dair teyit aldığı,
• • İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiğinin öğrenildiği (Türkiye'deki ilgili kişilerin bu yedi adet URL'den iki tanesinde gerçekleşen hatadan etkilendiği), 
• • İhlalden etkilenen ilgili kişi sayısının 44 olduğu,
• • İhlalden etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler olduğu,
• • Şirketin Kurumumuzu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği,
• • İlgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı

ifadelerine yer verilmiştir.

Karar Özeti

• • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
• • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,

• • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı 

dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• • İhlal olayının Veri Sorumlusu tarafından uzun süre sonra tespit edilebilmesi güvenlik kontrollerinin yeterli sıklıkta yapılmadığını göstermesi. Dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kalması.
• • Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınmaması.
• • Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması veya gerekli testlerin yapılmaması.

Ne Gibi Önlemler Alınmalıydı?

• • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi) ve güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanarak çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için kurallar ve buna bağlı prosedürler oluşturulmalıydı.
• • Log merkezileştirme yapılabilirdi.
• • Merkezileştirmede kişisel verilerin bulunduğu ortamlar ve kişisel veri güvenliğine etki eden donanım, uygulama ve operatör log kayıtları da alınabilirdi.
• • Oluşabilecek anormal durumlara karşı alarm oluşturulmalıydı.
• • Gelen log bilgilerinin analizi için ilgili personellere sorumluluk verilebilirdi. Personel sayısının yetersiz olduğu durumlarda dış kaynak kullanılabilirdi. Dış kaynak olarak SOC hizmeti bu kapsamda değerlendirilebilirdi.
• • Etiket yönetim sistemi riskler, sistemin kullanımında etkin bir şekilde değerlendirilerek kurallar oluşturulmalıydı.
• • Web sayfası tasarımı sırasında tüm güvenlik testleri etkin bir şekilde yapılmalıydı.
• • Geliştirme yapan personel ile testi gerçekleştiren personellerin ayrı olması gerekirdi. Testler öncesinde kontrol metrikler belirlenmeliydi.