“Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/532 sayılı Karar Özeti
Karar Tarihi | : | 09/07/2020 |
Karar No | : | 2020/532 |
Konu Özeti | : | Bir sigorta şirketinin veri ihlal bildirimi hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
- Veri sorumlusunun bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu akıbet dosyası seçen sorgunun hatalı çalışması nedeniyle Otomatik Katılım Sistemi (OKS) kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren akıbet dosyalarını söz konusu hata sebebiyle yanlış alıcılara gönderdiği,
- Veri ihlalinden veri sorumlusunun müşterisi olan 61 şirketin toplam 367 çalışanın etkilendiği,
- Destek hizmeti sağlayıcısından iletilen bilgiye göre; hataya sebebiyet veren uygulama 2010 yılında geliştirilmiş olup geliştirmede eski bir programdan yararlanıldığı,
- Yapılan geliştirme 2011 yılında devreye alındığı için, 2010 yılı ve öncesinde bu hata oluşmadığı,
- Alt yapının ilk kez kurulmasından beri mevcut olan bir hatanın olduğu ve bu hatanın ilk kez içerisinde bulunduğumuz yıl bilgisinin son rakamının 0 (sıfır) olması sebebiyle gerçekleşebildiği, (Örneğin bu alt yapı, 2010 yılından önce geliştirilseydi ilk kez 2010 yılında karşılaşılacağı ancak 2010 yılından sonra geliştirildiği için ilk problem 2020’de yaşandığı),
- İhlalden 367 gerçek kişiye ait kimlik (TCKN, ad soyad, doğum tarihi, SGK numarası), iletişim (telefon numarası, e-posta adresi), özlük (işe başlama tarihi) ve finans (IBAN numarası, katkı payı tutarı) verilerinin etkilendiği,
- İhlalden etkilenen kişilere ihlal sonrası e-posta ile bildirim yapıldığı, ihlalden etkilenme durumuna göre etkilenen kişi grupları 4’e ayrılarak her bir gruba ayrı bildirimler yapıldığı,
- Yanlış kişisel veri dosyasının gönderildiği 854 firmaya yapılan bildirim aramaları ve e-posta gönderimleri sonunda: 543 firmanın, verileri sildiklerine dair açık teyit verdiği, irtibat bilgilerindeki sorunlar nedeniyle ulaşılamayan bütün firmalara da ayrıca posta yoluyla yazılı olarak bildirim yapılmış ve yanlış bilgilerin kaydedilmiş ise silindiğine dair teyitlerinin beklendiği beyan ettikleri,
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 09/07/2020tarih ve 2020/531sayılı Kararı ile;
- Veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığında “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği veri ihlaline sebep olan yazılımdaki sistemsel hatanın veri güvenliğinin sağlanması amacıyla sürekli olarak takibinin gerektiği,
- İhlale konu olayın gerçekleşme tarihi (01.01.2020) ile tespit tarihi (06.01.2020) arasında 5 günlük bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “…raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi…” ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
- İhlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmaması durumu ihlal bildiriminde belirtilse de sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğinden, veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği,
dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlale sebep olan hatanın istisnai bir durum olması ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezasının uygulanmasına,
- İhlale sebep olan sistemdeki hatanın 01 Ocak 2020 tarihinde gerçekleştiği, 06 Ocak 2020 tarihinde tespit edildiği, 08 Ocak 2020 tarihinde Kurumumuza veri ihlal bildiriminde bulunulduğu, bu durumda Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
- Veri sorumlusu tarafından ilgili kişilere posta göndermek suretiyle bildirim yapıldığı, söz konusu metnin tarafımızla paylaşıldığı
dikkate alındığında, veri sorumlusunun bildiriminin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne uygun olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca yapılacak bir işlem bulunmadığına
karar verilmiştir.