(Özel) Müsteri Bilgilerini Yatirim Firmasina Veren Bankaya Sok Ceza
Bir banka çalisani, 346 müsteriye ait hesap bilgilerini arkadasinin çalistigi yatirim firmasina iletti. Durumun ortaya çikmasiyla ayaklanan müsteriler Kisisel Verileri Koruma Kurulu’nun (KVKK) kapisini çaldi. Kurul, bankaya 275 bin TL ceza kesti.
Adalet Bakanligi bünyesinde hizmet veren KVKK, kisisel verileri amaci disinda kullananlara ceza yagdiriyor. Bir bankanin çalisani, 346 müsteriye ait kisisel bilgileri yatirim firmasinda çalisan arkadasina iletti. Bankanin Veri Sizintisi ekibi veri ihlal bildirimini KVKK’ya aktardi. Yürütülen sorusturmada; çalisanin 346 müsteriye ait bilgileri bir word dokümanina isledigi ve söz konusu dokümani e-posta ile bir yatirim firmasinda çalistigini ve arkadasi oldugunu iddia ettigi 3. kisiye gönderdigi tespit edildi. Söz konusu müsterilerin hepsinin bir yatirim sirketine para transferlerinin bulundugu, ihlalden etkilenen kisisel veri kategorilerinin kimlik, iletisim, müsteri islem ve finans verileri oldugu ortaya çikti. Verileri paylasilan müsterilerin ihlale sebebiyet veren çalisanin iliskili oldugu subenin müsterileri olmadigi, bu nedenle çalisanin verileri toplamasi ve paylasmasinin mesnedinin bulunmadigi belirtildi. Yapilan incelemede; ihlalden 346 banka müsterisinin sube no, hesap no, ad-soyadi, cep telefonu numarasi ve bu müsterilerin bankadaki hesaplarindan bir yatirim firmasi hesabina gönderdikleri yatirim islemi tutar bilgilerinin etkilendigi tespit edildi. Ihlal ile ilgili olan personelin veri ihlalinin gerçeklesmesinden 1 seneyi askin süre önce 09.10.2018 tarihinde “Kisisel Verilerin Korunmasi Kanunu” egitimini tamamlamis olmasina ragmen, bahse konu egitimden sonra bizzat ihlali gerçeklestirmis olmasinin verilen egitimin yeterli ve etkin olmadigi hususunda süphe olusturdugu belirlendi.
Banka disina giden e-postalara iliskin Veri Sizintisi Tespit/Önleme Sisteminin mevcut oldugunun belirtilmesine ragmen söz konusu ihlale neden olan e-postanin DLP sistemleri tarafindan engellenmemesine dikkat çekildi. Kurul kararinda su ifadelere yer verildi: “’Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalidir’ ifadeleri uyarinca yetkisiz olarak kisisel veri aktarimi önleme açisindan veri sorumlusunun almis oldugu tedbirlerin yetersiz kaldigi anlasilmaktadir. Veri güvenligini saglamaya yönelik veri sorumlusunun almis oldugu teknik ve idari tedbirlerin yetersiz kaldiginin göstergesi oldugu dikkate alindiginda, veri güvenligini saglamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkinda kabahatin haksizlik içerigi, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsaminda 225 bin TL, ilgili kisilere gerekli bildirimlerin yapildigi ve söz konusu bildirim örneklerinin tarafimiza gönderildigi ortadadir. Kurumumuza bildirimin geç yapilmasi sebebiyle veri ihlalinin ögrenilmesinden itibaren baslayan 72 saatlik süre içerisinde bildirim kosulunun saglanmadigi dikkate alindiginda, (Kurul kararinda belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülügüne aykiri hareket etmesi nedeniyle veri sorumlusu hakkinda Kanunun 18 (1)(b) bendi uyarinca 50 bin TL olmak üzere toplam 275 bin TL idari para cezasi uygulanmasina karar verilmistir.”
Kaynak: İHA
Banka disina giden e-postalara iliskin Veri Sizintisi Tespit/Önleme Sisteminin mevcut oldugunun belirtilmesine ragmen söz konusu ihlale neden olan e-postanin DLP sistemleri tarafindan engellenmemesine dikkat çekildi. Kurul kararinda su ifadelere yer verildi: “’Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalidir’ ifadeleri uyarinca yetkisiz olarak kisisel veri aktarimi önleme açisindan veri sorumlusunun almis oldugu tedbirlerin yetersiz kaldigi anlasilmaktadir. Veri güvenligini saglamaya yönelik veri sorumlusunun almis oldugu teknik ve idari tedbirlerin yetersiz kaldiginin göstergesi oldugu dikkate alindiginda, veri güvenligini saglamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkinda kabahatin haksizlik içerigi, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsaminda 225 bin TL, ilgili kisilere gerekli bildirimlerin yapildigi ve söz konusu bildirim örneklerinin tarafimiza gönderildigi ortadadir. Kurumumuza bildirimin geç yapilmasi sebebiyle veri ihlalinin ögrenilmesinden itibaren baslayan 72 saatlik süre içerisinde bildirim kosulunun saglanmadigi dikkate alindiginda, (Kurul kararinda belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülügüne aykiri hareket etmesi nedeniyle veri sorumlusu hakkinda Kanunun 18 (1)(b) bendi uyarinca 50 bin TL olmak üzere toplam 275 bin TL idari para cezasi uygulanmasina karar verilmistir.”