“Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi” hakkında Kişisel Verileri Koruma Kurulunun 07/10/2021 tarih ve 2021/1021 sayılı Karar Özeti

“Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi” hakkında Kişisel Verileri Koruma Kurulunun 07/10/2021 tarih ve 2021/1021 sayılı Karar Özeti

Karar Tarihi : 07/10/2021
Karar No : 2021/1021
Konu Özeti : Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi

 

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde özetle:

  • 4792 veri sorumlusu müşterisine ait kişisel verilerin internet üzerinden bir forum sitesinde satılmaya çalışıldığı,
  • Kişisel veri ihlalinin daha önce hizmet alınan ve halihazırda ilişiğinin bulunmadığı veri işleyen bünyesinde gerçekleştiğinin düşünüldüğü; zira:
    • Etkilenen 4792 kişiye ait verilerin tamamının ilgili veri işleyenden hizmet alınan döneme ait olduğu, o Satışı yapılan listedeki kişilerin tamamı için her birine ayrı kod verildiği, söz konusu kodların veri işleyene özgü olduğu bilinen formatta olduğu,
    • Veri ihlalinin gerçekleştiği forum sayfasında hukuka aykırı şekilde kişisel veri satışı gerçekleştirmeye çalışan kullanıcının, muhtelif veri sorumlularının müşterilerine ait kişisel verileri de satışa çıkardığının görüldüğü, bahsi geçen veri sorumlularının da tıpkı kendileri gibi ilgili veri işleyenden e-ticaret entegrasyon hizmeti aldıkları/almakta olduklarının haricen öğrenildiği,
  • İhlalden toplam 4792 kişiye ait e-posta adresi, siteye son giriş tarihi ve şifrelenmiş parola bilgisi, 4616 kişiye ait ad ve soyad, 4536 kişiye ait telefon numarası, 33 kişiye ait TC kimlik numarası, 1669 kişiye ait sipariş tutarı, 67 kişiye ait adres, 1749 kişiye ait sipariş sayısı, 1714 kişiye ait siteye kayıt tarihi, 2176 kişiye ait şifrelenmiş cinsiyet, 3337 kişiye ait doğum tarihi bilgisinin etkilendiği,
  • Veri ihlaline ilişkin detaylara hakim olunabilmesi amacıyla veri işleyene keşide edilen ihtarname aracılığıyla, halihazırda silinmiş olması gereken ihlale konu kişisel verilerin 1 iş günü içerisinde imha edilmesi ve söz konusu imha tutanağı ile birlikte ihlalin kaynağını ve etkilerini içeren analizin 3 iş günü içerisinde taraflarına gönderilmesi gerektiğinin bildirildiği,
  • Etkilenen 4792 kişinin tamamına ihlal ile ilgili bilgilendirme yapıldığı

beyanlarına yer verilmiştir.

Veri ihlal bildiriminin incelenmesi neticesinde, 07/10/2021 tarih ve 2021/1021 sayılı Kişisel Verileri Koruma Kurulu Kararı ile;

  • Kuruma sunulan ekran görüntülerinde veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının, aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığının görüldüğü; anılan veri sorumlularının da aynı veri işleyenden hizmet aldıkları/almakta oldukları; bu anlamda aynı veri işleyenden hizmet alan farklı veri sorumlularının müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sayfasında ve aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceği ve verilerin veri işleyen sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına sağlam dayanak teşkil ettiği; ancak 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (2) numaralı fıkrasının “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” hükmü çerçevesinde veri sorumlusunun veri güvenliğine yönelik yükümlülüklerinin ortadan kalkmadığı; Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen “(…) uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri (…)” hükmü ile bağlı olduğu,
  • Veri işleyenin kişisel verileri muhafaza ettiği dijital ortamlara yönelik ihlalden önce gerçekleştirilmiş bir sızma testi raporu bulunmadığı; buna paralel olarak veri sorumlusunun veri işleyen bünyesinde ihlalin gerçekleşmesine sebep olabilecek teknik zafiyetlerin neler olduğuna ilişkin bilgi sahibi olamadığı; dolayısıyla veri işleyenin kişisel verilerin korunması hususunda uygun güvenlik düzeyini temin etmesini garanti altına almak noktasında üzerine düşen denetim tedbirini almadığı; ayrıca veri sorumlusunun, veri işleyenin muhafaza ettiği kişisel verilerin imhasına yönelik olarak aralarındaki ticari ilişkinin sonlanmasını müteakip gerekli girişimlerde bulunması gerekirken bunu ihlalden sonra yaptığı; bu itibarla Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” amacıyla gerekli tedbirleri almaktan imtina ettiği; anılan gerekçelerle veri sorumlusunun veri işleyen ile ilişkilerin yönetimi noktasında özensiz davrandığı,
  • Veri sorumlusu sunucularında da ihlalden önce sızma testi yapılmadığı; Kuruma iletilen ihlal sonrası yapılmış sızma testi raporları incelendiğine, düşük, orta ve yüksek risk seviyeli çeşitli zafiyetlerin tespit edildiğinin görüldüğü; bu yüzden, veri sorumlusunun ihlalden önce söz konusu testleri yapıp/yaptırıp, sonucunda bulunan zafiyetlerin giderilmesi noktasında gayret göstermediği,
  • İhlalden etkilenen kişi sayısının yüksek olduğu, etkilenen kişilerin müşteriler olduğu ve kişisel verilerin hukuka aykırı şekilde satışa çıkarıldığı forum sitesinin başka veri sorumlularının uhdesinde bulunan kişisel verilerin de satışa çıkarılmasıyla bilinen kötü şöhretli bir oluşum olduğu, bu nedenlerle etkilenen kişisel veri kategorileri de göz önünde bulundurulduğunda ihlalin etkilenen kişiler üzerinde olumsuz sonuç doğurma riskinin bulunduğu

değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına,

  • Veri ihlalinin 24/01/2019 tarih ve 2019/10 sayılı Kurul Kararı ile belirlenen ihlalin öğrenilmesinden itibaren başlayan 72 saat içerisinde Kuruma bildirildiği,
  • Etkilenen kişilerin tamamına bilgilendirme yazısı ve talep olması durumunda gönderilen detaylı cevap yazısı olmak üzere iki aşamada bildirim yapıldığı; ilk gönderilen bilgilendirme yazısının Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında belirtilen ilgili kişiye yapılan bildirimlerde yer alması gereken asgari unsurları içermediği; her ne kadar talep olması halinde gönderilen ikinci yazı Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurların tamamını içerse de etkilenen kişilerden ilave bilgi talebi gelmemesi durumunda daha detaylı ikinci yazının gönderilmediği; bu anlamda ilave bilgi talebinde bulunmayan kişilerin ihlal hakkında yeterli bilgiye vakıf olamayacakları

hususları dikkate alındığında; bundan sonraki veri ihlallerinde ilgili kişilere bildirimlerin, etkilenen herkesin bilgi almasını sağlayarak ve Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurlara uygun şekilde gerçekleştirilmesine dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına,

  • Veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığı

hususu göz önüne alındığında söz konusu veri sorumluları ile veri işleyen hakkında Kanunun 15 nci maddesinin “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” şeklindeki (1) numaralı fıkrasına dayanarak resen inceleme başlatılmasına

karar verilmiştir.