Kişisel Verileri Koruma Kurulunun 08/08/2024 tarih ve 2024/1385 sayılı Karar Özeti

"Bir e-ticaret platformu tarafından Kurula intikal ettirilen veri ihlal bildirimi" hakkında Kişisel Verileri Koruma Kurulunun 08/08/2024 tarih ve 2024/1385 sayılı Karar Özeti

Bir e-ticaret platformu tarafından Kuruma intikal ettirilen veri ihlali bildirimi neticesinde yapılan inceleme sonucunda:

• Yetkisiz kişiler tarafından, farklı platformlardan elde edilen kullanıcı adı ve şifre bilgilerinin veri sorumlusunun satıcı portalında denenmesi suretiyle 673 satıcı ve 7.202 müşterinin kişisel verilerinin etkilendiği tespit edilmiştir. İhlale konu satıcı ve müşteri bilgilerinin arasında ad-soyad, TCKN, iletişim bilgileri, fatura bilgileri, satın alma geçmişi gibi kişisel veri kategorileri yer almaktadır.
• İhlalin 02.02.2024-06.02.2024 tarihleri arasında gerçekleştiği, ancak veri sorumlusunun şikayetler üzerine 06.02.2024 tarihinde durumu fark ettiği ve teknik izleme süreçlerinde gerekli önlemleri zamanında almadığı,
• Çift faktörlü kimlik doğrulama gibi güvenlik önlemlerinin ihlal sonrası hayata geçirildiği,
• İhlalin, anomali tespiti ve şikâyetler sonrasında fark edildiği,

tespit edilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak veri güvenliği yükümlülüklerini ihlal eden veri sorumlusu hakkında, Kanun’un 18. maddesi uyarınca 3.250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karara buradan ulaşabilirsiniz.