“Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Karar Özeti

“Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Karar Özeti

Karar Tarihi : 03/03/2020
Karar No : 2020/201
Konu Özeti : Bir bankanın veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin (e-posta ve kısa mesaj) işlem dışı ve Banka sisteminde kayıtlı diğer müşterilere gönderilmesi şeklinde gerçekleştiği,
  • İhlalin gerçekleşme şekli ve yöntemi hakkında;
    • Sehven gönderildiği belirtilen bildirimlerin, Şirketin mail ve SMS gönderimleri için kullandığı bir “iç sistem uygulaması” ile yapıldığı,
    •  “İç sistem uygulamasında” bir yazılım değişikliğine gidildiği, 
    • Ancak geliştirme hatası sebebiyle müştereklik ilişkisi dışındaki ilişki tiplerine sahip müşterilere de sehven bildirim yapıldığı, 
    • Teknik anlamda, kullanılması gereken fonksiyon ve metodun doğru kullanıldığı ancak parametrelerde yeterli kontrol konulmadığının anlaşıldığı,
    • “İç sistem uygulaması” üzerinden yapılan geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu
  • İlgili kişilere SMS ve e-posta kanalıyla bilgilendirmenin yapıldığı,
  • İhlalden etkilenen kişi sayısının 905; kayıt sayısının 1831 olduğu,
  • Etkilenen kişi kategorilerinin müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) olduğu,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Kararı ile;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin, ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin (e-posta ve kısa mesaj) işlem dışı ve Banka sisteminde kayıtlı, diğer müşterilere gönderilmesi şeklinde gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) gibi kişisel verilerinin etkilendiği,
  • Sehven gönderildiği bildirilen bildirimlerin, veri sorumlusu mail ve SMS gönderimleri için kullandığı bir iç sistem uygulaması ile yapıldığı, ihlale konu olayda teknik anlamda, “kullanılması gereken fonksiyon ve metodun doğru kullanılmasına rağmen parametrelerde yeterli kontrol konulmadığının anlaşıldığı, ilgili geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu”, bu teknik tedbir eksikliğinin de ihlale yol açtığı, bahsi geçen “Notification” uygulama sisteminin hata sonucu veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için yerleştirilen kontrol mekanizmasının yeterli düzeyde olmadığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiği

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezasının uygulanmasına,

  • İhlalin 05.07.2019 ile 08.07.2019 arasında gerçekleştiği, 08.07.2019 tarihinde tespit edildiği ve ihlal bildiriminin Kuruma 11.07.2019 tarihinde intikal ettiği, bu kapsamda bildirimin 72 saat içinde gönderildiği, ayrıca veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğu 

dikkate alındığında, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca yapılacak bir işlem olmadığına

karar verilmiştir.