Adalet Bakanlığı'na bağlı olarak hizmet yürüten Kişisel Verileri Koruma Kurulu (KVKK), kişisel verileri amacı dışında kullanılmasına karşı titiz bir çalışma yürütüyor. Bursa'da bir banka şubesinin çalışanının, aynı bankada hesabı olan müşterilerin bilgilerini, bir yatırım şirketinde çalışan arkadaşına verdiği tespit edildi. Bunun üzerine başlatılan soruşturmada, 346 müşteriye ait bilgileri bir Word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalışan arkadaşına gönderdiği tespit edildi.
Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı.
Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi.
Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği tespit edildi.
DLP SİSTEMİ SIZINTIYI ENGELLEMEDİ
Yapılan incelemelerde, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi.
Kurul verdiği kararda, "Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır' ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı anlaşılmaktadır. Veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin Türk Lirası, ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza bildirimin geç yapılması sebebiyle veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin Türk lirası olmak üzere toplam 275 bin Türk lirası idari para cezası uygulanmasına karar verilmiştir." denildi.