Adalet Bakanlığı bünyesinde hizmet veren Bireysel Verileri Koruma Kurulu'ndan (KVKK), bireysel verileri amacı dışarıda kullanan bankaya cinayet verdi.
Bir bankanın çalışanı, 346 müşteriye ait bireysel bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Bilgi Sızıntısı ekibi bilgi ihlal bildirimini KVKK'ya aktardı.
WORD DOKÜMANINDA E-POSTA İLE GÖNDERMİŞ
Yürütülen soruşturmada; çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve laf konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu bahis ettiği 3. kişiye gönderdiği saptandı.
Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen bireysel data kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı.
Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi.
Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, isim-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi miktar bilgilerinin etkilendiği tespit edildi.
İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın vakit önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına karşın, bahse konu eğitimden daha sonra kanımca ihlali gerçekleştirmiş olmasının bahşedilen eğitimin yeterli ve etkili olmadığı hususunda kararsızlık oluşturduğu belirlendi.
SİSTEM ENGELLEMEDİ
Banka dışına dışarı giden e-postalara ilişkin Data Sızıntısı Saptama/Önleme Sisteminin mevcut olduğunun belirtilmesine karşın laf konusu ihlale neden olan e-postanın DLP sistemleri kadar engellenmemesine dikkat çekildi.
Kurul kararında şu ifadelere yer verildi:
“’Zorunlu teknik ve yönetimle ilgili tedbirler planlanarak uygulamaya konulmalıdır’ ifadeleri gereğince eksik olarak bireysel bilgi aktarımı önleme açısından bilgi sorumlusunun almış olduğu tedbirlerin yetkisiz kaldığı anlaşılmaktadır. Veri güvenliğini sağlamaya karşın data sorumlusunun almış olduğu teknik ve yönetimle ilgili tedbirlerin beceriksiz kaldığının göstergesi olduğu dikkate alındığında, bilgi güvenliğini sağlamaya yönelik gerekli teknik ve yönetimle ilgili tedbirleri almayan data sorumlusu hakkında kabahatin adaletsizlik içeriği, bilgi sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi dahilinde 225 bin TL, ilgili kişilere zorunlu bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza bildirimin geç yapılması nedeniyle veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik vakit içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, (Kurul kararında açıklanmış 72 saatlik zaman içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin TL almak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”
Kaynak: www.patronlardunyasi.com URL: https://www.patronlardunyasi.com/haber/Musteri-hesap-bilgilerini-paylasan-bankaya-komik-ceza/253225
