Konu Özeti: Veri Sorumlusu, 4792 müşterisine ait kişisel verilerin internet üzerinden bir forum sitesinde satılmaya çalışıldığı, kişisel veri ihlalinin daha önce hizmet alınan ve hali hazırda ilişiğinin bulunmadığı veri işleyen bünyesinde gerçekleştiğinin düşünülmektedir.

İhlalden etkilenen 4792 kişiye ait verilerin tamamı, ilgili veri işleyenden hizmet alınan döneme ait olduğu anlaşılmakta olup, kişilerin tamamı için her birine ayrı kod verildiği, söz konusu kodların veri işleyene özgü olduğu bilinen formatta olduğu anlaşılmaktadır.

Veri ihlalinin gerçekleştiği forum sayfasında hukuka aykırı şekilde kişisel veri satışı gerçekleştirilmiştir. Satış yapan kullanıcının, muhtelif veri sorumlularının müşterilerine ait kişisel verileri de satışa çıkardığının görüldüğü, bahsi geçen veri sorumlularının da tıpkı kendileri gibi ilgili veri işleyenden e-ticaret entegrasyon hizmeti aldıkları/almakta olduklarının haricen öğrenilmiştir. İhlal bildirimi yapan Veri Sorumlusu dışında, hukuka aykırı kişisel veri satışı yapan Veri İşleyen’in, daha önceden ve halen hizmet verdiği diğer veri sorumlularının müşterilerinin verilerinin de satışı yapıldığı anlaşılmaktadır.

İhlalden etkilenen veriler ise aşağıdaki gibidir:

a. 4792 kişiye ait e-posta adresi, siteye son giriş tarihi ve şifrelenmiş parola bilgisi,

b. 4616 kişiye ait ad ve soyadı

c. 4536 kişiye ait telefon numarası,

d. 33 kişiye ait TC kimlik numarası,

e. 1669 kişiye ait sipariş tutarı,

f. 67 kişiye ait adres,

g. 1749 kişiye ait sipariş sayısı,

h. 1714 kişiye ait siteye kayıt tarihi,

i. 2176 kişiye ait şifrelenmiş cinsiyet,

j. 3337 kişiye ait doğum tarihi bilgisi.

Hukuka aykırı satışın tespitinden sonra ihlal bildirimi yapan Veri Sorumlusu, aşağıdaki konularda da Kurum’a bilgi verdiği anlaşılmaktadır.

1. Veri ihlaline ilişkin detaylara hakim olunabilmesi için ihtarname aracılığıyla, halihazırda silinmiş olması gereken ihlale konu kişisel verilerin 1 iş günü içerisinde imha edilmesi ve söz konusu imha tutanağı ile birlikte ihlalin kaynağını ve etkilerini içeren analizin 3 iş günü içerisinde taraflarına gönderilmesini istemiştir.

2. Etkilenen 4792 kişinin tamamına ihlal ile ilgili bilgilendirme yapılmıştır.

Karar:

Kuruma sunulan ekran görüntülerinde veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının, aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığının görüldüğü; anılan veri sorumlularının da aynı veri işleyenden hizmet aldıkları/almakta oldukları; bu anlamda aynı veri işleyenden hizmet alan farklı veri sorumlularının müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sayfasında ve aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceği ve verilerin veri işleyen sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına sağlam dayanak teşkil etmektedir.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Bu nedenle, veri sorumlusunun veri güvenliğine yönelik yükümlülükleri ortadan kalkmamakta olup, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Aşağıda belirtilen idari ve teknik tedbirlerin Veri Sorumlusu tarafından alınmadığı anlaşılmıştır.

i. Sızma testi: Veri işleyenin kişisel verileri muhafaza ettiği dijital ortamlara yönelik ihlalden önce gerçekleştirilmiş bir sızma testi raporu bulunmaması.

Veri sorumlusu sunucularında da ihlalden önce sızma testi yapılmaması, Kuruma iletilen ihlal sonrası yapılmış sızma testi raporları incelendiğine, düşük, orta ve yüksek risk seviyeli çeşitli zafiyetlerin tespit edilmesi, bu yüzden, veri sorumlusunun ihlalden önce söz konusu testleri yapıp/yaptırıp, sonucunda bulunan zafiyetlerin giderilmesi noktasında gayret göstermemesi

ii. Denetim: veri işleyen bünyesinde ihlalin gerçekleşmesine sebep olabilecek teknik zafiyetlerin neler olduğuna ilişkin bilgi sahibi olmaması, veri işleyenin kişisel verilerin korunması hususunda uygun güvenlik düzeyini temin etmesini garanti altına almak noktasında üzerine düşen denetim tedbirini almaması

iii. İmha: veri işleyenin muhafaza ettiği kişisel verilerin imhasına yönelik olarak aralarındaki ticari ilişkinin sonlanmasına müteakip gerekli girişimlerde bulunması gerekirken bunu ihlalden sonra yapması

iv. Özensizlik: kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almaktan imtina etmesi ve anılan gerekçelerle veri sorumlusunun veri işleyen ile ilişkilerin yönetimi noktasında özensiz davranması

İhlalden etkilenen kişi sayısının yüksek olması, etkilenen kişilerin müşteriler olması ve kişisel verilerin hukuka aykırı şekilde satışa çıkarıldığı forum sitesinin başka veri sorumlularının uhdesinde bulunan kişisel verilerin de satışa çıkarılmasıyla bilinen kötü şöhretli bir oluşum olması, bu nedenlerle etkilenen kişisel veri kategorileri de göz önünde bulundurulduğunda ihlalin etkilenen kişiler üzerinde olumsuz sonuç doğurma riskinin bulmasını da Kurul kararında ifade etmiştir.

Veri Sorumlusuna ilişkin, gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18(1)(b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına karar verilmiş olup, ihlalin öğrenilmesinden itibaren başlayan 72 saat içerisinde Kuruma bildirildiği de dikkate alınmıştır.

Etkilenen kişilerin tamamına bilgilendirme yazısı ve talep olması durumunda gönderilen detaylı 2. cevap yazısı olmak üzere iki aşamada bildirim yapıldığı; ilk gönderilen bilgilendirme yazısının Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında belirtilen ilgili kişiye yapılan bildirimlerde yer alması gereken asgari unsurları içermediği; her ne kadar talep olması halinde gönderilen ikinci yazı Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurların tamamını içerse de etkilenen kişilerden ilave bilgi talebi gelmemesi durumunda daha detaylı ikinci yazının gönderilmediği; bu anlamda ilave bilgi talebinde bulunmayan kişilerin ihlal hakkında yeterli bilgiye vakıf olamayacakları hususları dikkate alınmıştır. Bu nedenle, bundan sonraki veri ihlallerinde ilgili kişilere bildirimlerin, etkilenen herkesin bilgi almasını sağlayarak ve Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurlara uygun şekilde gerçekleştirilmesine dikkat edilmesi hususunun veri sorumlusuna hatırlatılma yapılmıştır.

Diğer Veri Sorumluları ve Veri İşleyene ilişkin; Veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığı hususu göz önüne alındığında söz konusu veri sorumluları ile veri işleyen hakkında Kanunun 15 nci maddesinin “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” şeklindeki (1) numaralı fıkrasına dayanarak resen inceleme başlatılmasına karar verilmiştir.

KAYNAK: https://www.kvkk.gov.tr/Icerik/7081/2021-1021