“Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/466 sayılı Karar Özeti
Karar Tarihi | : | 16/06/2020 |
Karar No | : | 2020/466 |
Konu Özeti | : | Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
- İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği,
- İhlalin; veri işleyenin verdiği şikayetçi ifade tutanağı ile anlaşıldığı, ilgili tutanağa göre; Acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği,
- İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve 22.02.2020 tarihinde Kurumumuza bildirildiği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,
- İhlalden etkilenen kişi sayısının 172 olduğu,
- Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı,
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Kararı ile;
- Veri ihlalinin 13.02.2020 tarihinde veri işleyenin sistemlerine yetkisiz erişim sağlanmasıyla gerçekleştiği, ihlalin veri sorumlusu tarafından 20.02.2020 tarihinde tespit edildiği,
- Veri sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin etmediği, vakaya konu bilgisayarın veri işleyenin kendisine ait olduğu, bu nedenle bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını belirtildiği, ayrıca; Acente Bilgi Güvenliği İlkeleri dokümanında; Acentelerin bilgi güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve gerektiği takdirde ve periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen veri işleyenin herhangi bir şekilde denetlenmemesinin, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberinin (Teknik ve İdari Tedbirler-Rehber) 2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığı altında; “…veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” ifadelerine aykırılık teşkil ettiği,
- Veri sorumlusu tarafından; ilgili bilgisayar hemen olayın akabinde formatlandığı için herhangi bir araştırmanın yapılamadığı, herhangi bir kişisel veriye erişilip erişilmediğinin tespit edilmediği, veri işleyenin ifadesine istinaden araç ruhsatı üzerinde bulunan kimlik bilgileri ile kredi kartı bilgileri kategorilerinin seçildiği belirtilmiş olup bu durumun Rehber’in 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında; “…Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi…” ifadelerine aykırılık teşkil ettiği,
- Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olduğu, Rehber’in 2.2. maddesinde; “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” ifadelerine aykırı olarak veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının yapılmasının veri sorumlusu tarafından sağlanmadığı,
- Veri işleyenin Windows 7 Professional x64 işletim sistemini kullandığı, Windows’un resmi sayfası üzerinden yapılan duyuruda; Windows 7 işletim sisteminin 14.01.2020 tarihinden itibaren artık yeni Microsoft Security Essentials yüklemelerini desteklememekte olduğundan tüm müşterilerin en iyi güvenlik seçeneği olan Windows 10 ve Windows Defender Virüsten Koruma'ya geçmelerini önerildiği, Rehber’in 2.3 maddesinde; Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında; “…hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerektiği, ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta…” olduğunun belirtildiği, bahsi geçen işletim sisteminin hâlihazırda eski bir sürüm olduğu ve 14.01.2020 tarihinden itibaren güvenlik korumasıyla ilgili güncellemeleri desteklemediği hususlarının gerekli güvenlik önlemlerinin veri sorumlusu ve veri işleyen tarafından tam olarak alınmadığını gösterdiği,
- Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamakta olmasının Rehber’in 3.2 maddesinde “Siber Güvenliğin Sağlanması başlığı altında”; “…Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.”, 27 Nisan 2020 tarihinde veri sorumlusunun acentelerin siber saldırılardan korunmalarına yönelik yapmış olduğu duyuruda; Tüm kullanıcı bilgisayarlarına anti-virüs yazılımlar yüklenmesi ve kullanıcılar anti-virüs yazılımlarını kapatmaması veya ayarlarını değiştirmemesinin gerektiği, 01.11.2019 tarihli ve veri sorumlusunun acentelerine 21.01.2020 tarihinde duyurulan Acente Bilgi Güvenliği İlkeleri dokümanında yer alan; tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği, acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını değiştiremediği, ifadelerine aykırı olarak veri sorumlusu ve veri işleyen tarafından bahse konu güvenlik önlemlerinin yerine getirilmediği hatta veri sorumlusunun kendi hazırlamış olduğu dokümanların gereklerinin dahi sağlanmadığı
hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 172.000 TL idari para cezası uygulanmasına,
- Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği,
- İhlalin bildirildiği 77 kişiden 33’üne bildirimin 26.03.2020, 9’una 16.04.2020, 35’ine 20.04.2020 tarihinde yapıldığı, dolayısıyla ihlalin tespit tarihi ile bildirim tarihleri arasında 1 ayı aşkın süre bulunduğu
dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (ilgili kişilere bildirim için) bildirimde bulunma yükümlülüğünün 24.01.2019 tarih 2019/10 sayılı Kararda yer verilen “ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması” şeklinde de yapılabileceği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.