Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Karar Özeti


“Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Karar Özeti

 

Karar Tarihi : 05/05/2020
Karar No : 2020/345
Konu Özeti : Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • Yapılan rutin güvenlik denetimi sırasında eski bir veri sorumlusu çalışanı (web geliştiricisi) tarafından içerisinde kaynak kod ile veri dosyaları içeren bir klasörün yetkisiz olarak github.com internet sitesine yüklendiğinin tespit edildiği ve konu hakkında inceleme başlatıldığı, 
  • Yapılan incelemede klasör içerisinde yer alan birçok dosyada veri sorumlusu kullanıcılarının bir alt kümesinin kimliğini belirli kılabilecek bilgilerin bulunabileceği tespit edilmiş olsa da, bu verilerin büyük bir kısmının veri sorumlusu hizmetlerinden men edilmiş sahte(bot) hesaplara ait olduğunun görüldüğü,
  • İncelemenin detaylandırılmasından sonra 12 Ocak 2019 tarihinde verilerin hem sahte(bot) hesaplara hem de Türkiye’de mukim kullanıcılara ait gerçek hesapların birleşiminden oluştuğunun kesinleştiği, 
  • Yapılan çalışmalar sonucunda bilindiği kadarıyla söz konusu verilerin github’dan kaldırıldığı veya kamu erişimine kapalı hale getirildiği, 
  • İhlalden etkilenen kişi sayısının 62 olduğu,
  • İhlalden kullanıcılar, müşteriler ve potansiyel müşteriler ile çocukların etkilendiği, ihlalden etkilenenlerin tamamına yakınının yetişkin olmakla birlikte az sayıda çocuğun da içlerinde yer aldığı,
  • İhlalden etkilenen kişisel verilerin kimlik(doğum tarihi), iletişim(e-posta adresi), lokasyon(internet hizmet sağlayıcı ve kullanıcı kayıt tarihi ve saati) gibi bilgilerin olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Kararı ile;

  • Veri ihlalinin, veri sorumlusu ve eski bir çalışanı ile iş ilişkisinin sonlanmasının akabinde, bu kişinin yetkisiz bir biçimde kişinin işinin ürünü olan kaynak kodu ve veri dosyalarını içeren klasörü github.com’a (GitHub) yüklemesi ile gerçekleştiği, eski çalışanın kaynak kodları da github.com internet sitesine yüklemiş olmasının bir güvenlik açığı olduğu, bu kaynak kodların yetkisiz üçüncü kişiler tarafından analiz edilerek başka güvenlik açıklıklarına sebebiyet verebileceği dikkate alındığında kişisel veri güvenliği noktasında veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin yeterince alınmamış olduğunun ve Kişisel Verileri Koruma Kurumunca yayınlanan Kişisel Veri Güvenliği Rehberinin(Teknik ve İdari Tedbirler) 2.2. numaralı “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır. Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.” şeklinde açıklanan hususlara uygun davranmadığının göstergesi olduğu,  
  • İhlalin gerçekleşme tarihinin 19.04.2017, tespit tarihinin 09.01.2019, Kuruma bildirim tarihinin ise 28.02.2019 tarihi olduğu, aradan 2 yıla yakın süre geçtikten sonra 09.01.2019 tarihinde ihlalin tespit edilmesinin güvenlik kontrollerinin düzenli olarak yapılmadığının, dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu,
  • Personele veri sorumlusunun çok sayıda politikasının imzalatıldığının veri sorumlusu tarafından beyan edilmiş olmasına rağmen söz konusu çalışanın kişisel verileri de içeren dosyaları kendi taşınabilir depolama aygıtına kopyalamasının politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL,

  • 19.04.2017’de gerçekleşen veri ihlalinin 09.01.2019 tarihinde tespit edildiği, Kuruma 28.02.2019 tarihinde bildirim yapıldığı hususları dikkate alındığında, veri sorumlusunun Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL 

olmak üzere toplam 130.000 TL idari para cezası uygulanmasına

karar verilmiştir.