KVK Kurumu

2020/213

“Bir internet servis sağlayıcısının veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 12.03.2020 tarih ve 2020/213 sayılı Karar Özeti

Kurul Kararı İdari Para Cezası ₺300.000

Karar Özeti

Veri sorumlusu şirketin online işlem merkezinde fatura ödeme sisteminde yaşanan sorun giderilirken güvenlik açığı ortaya çıkmış ve 69 kişiye ait kredi kartı bilgileri 649 müşteri tarafından görüntülenebilir hale gelmiştir. Kurul, değişikliklerin test ortamı yerine gerçek ortamda yapılmasını ve test süreçlerinin yetersizliğini teknik tedbir eksikliği olarak değerlendirmiştir. KVKK m.12/1 kapsamında veri güvenliğini sağlamayan veri sorumlusu hakkında m.18/1-b uyarınca 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Metni

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12.03.2020 tarih ve 2020/213 sayılı Kararı ile;

dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.

  • Şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabildikleri bir Online İşlem Merkezi bulunduğu,
  • Şirketin fatura ödeme sisteminde online (çevrimiçi) işlemlerde fatura ödemesi yapılamadığı ve sorunun Şirkete müşteriler tarafından bildirildiği,
  • Müşterinin ödeme yaptığı sırada ekranda "fatura seçilmesi gerektiği" uyarısı belirdiği,
  • Sorun giderilmek üzere çalışma yapılırken bir güvenlik açığının ortaya çıktığı,
  • Güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği,
  • İhlalin kök nedeninin uygulamaya bilgi kaydı (log) üreten özelliklerin eklenerek "debug" ile düzeltilmesi girişiminin olduğu,
  • 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiğinin tespit edildiği,
  • Yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu,
  • Test süreçlerinin yetersizliği veri sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu,
  • Sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu,
  • Veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu

İlgili KVKK Maddeleri

m. 12 Veri Güvenliğine İlişkin Yükümlülükler m. 18 Kabahatler