Bir İnternet Servis Sağlayıcısının Veri İhlal Bildirimi Hakkında KVKK'nun 12.03.2020 Tarihli Kararı

12.05.2020 tarihli ve yeni yayınlanan Kurul kararında, bir internet veri sağlayıcısının kullanıcıları için paket değişikliği, fatura ödeme vb. işlemlerini gerçekleştirebildiği çevrimiçi işlem merkezinin kurulu olduğu, fatura ödeme sekmesinin seçilmesine rağmen ödeme yapılamaması ve bunun ihbar edilmesi sonucunda sistemde güvenlik açığının bulunduğunun tespit edilmesi ve bu açıkla birlikte 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiğinin tespit edilmesi üzerine Kurul tarafından veri sorumlusu şirkete 300.000-TL idari para cezasının uygulanmasına karar verilmiştir. 
 
Kurul karar gerekçesinde, yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu, test süreçlerinin yetersizliği veri sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu, sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu, veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğuna yer vermiştir.
 
Kurul ayrıca, mezkur ihlali Kanunun 12. maddesinin 1. fıkrasında düzenlenen veri güvenliğine ilişkin tedbirlerin alınması maddesince değerlendirmiş ve yaptırımın dayanak maddesi olarak ilgili maddeyi göstermiştir. Söz konusu madde kapsamında veri güvenliğine ilişkin alınması gereken tedbirlere dair yükümlülüklerin gereği gibi yerine getirilmemesi durumunda verilecek idari para cezasının alt sınırı 15.000-TL ve üst sınırı 1.000.000-TL olarak belirlenmiş iken, bu denli bir veri ihlalinde Kurul yaptırım miktarını takdiren neredeyse orta sınırdan belirlemiştir. Bu durum, politikanın önemi ve teknik tedbirlerdeki en ufak aksamanın veri sorumlular nezdinde oluşturacağı tahribatı göstermektedir. 
 

0