Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti


“Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti

 

Karar Tarihi : 11/02/2020
Karar No : 2020/113
Konu Özeti : Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin e-ticaret sektöründe faaliyet göstermekte olduğu,
  • Veri sorumlusunun internet sitesinden ve mobil uygulaması üzerinden ticari faaliyet amacı olmayan satıcılara ikinci el ürünlerini satmaları için bir aracı hizmet sağlayıcısı olarak teknik alt yapı sunduğu,
  • Şirkete, internet sitesinin hacklendiği iddiasının iletildiği,
  • Veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlemesinin de bu sırada gerçekleşmiş olabileceği,
  • Azami 257.000 kişinin etkilenme ihtimalinin bulunduğu ancak veri sorumlusu tarafından 25 kişi dışında kimsenin veri ihlalinden etkilenmiş olduğuna dair kayıt tespit edilmediği,
  • İhlalden etkilenen ilgili kişi kategorilerinin kullanıcılar olduğu,
  • İhlalden etkilendiği belirtilen kişisel verilerin ad, soyadı, e-posta adresi, kriptolanmış kullanıcı hesabı şifreleri olduğu, 973.147 üyeye kadar olan kullanıcılardan 172.490 adedinin sisteme Facebook profili üzerinden kayıt olduğu için e-posta adreslerinin sistemde bulunmadığı, ancak veri ihlalinin gerçekleştirildiği e-posta adresi ile Şirket arasında yapılan konuşmalarda; tüm veri tabanları, kaynak kodlar, dosya ve müşteri verilerinin ele geçirildiğinin iddia edildiği,
  • İhlalden özel nitelikli kişisel verilerin etkilenmediği,
  • Kayıtlı kullanıcılara bildirimde bulunulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı sayılı Kararı ile;

Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.