2020/466 Sayılı KVKK Kararı İncelemesi: Siber Güvenlik Önlemleri ve Fidye

Bu yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 16.06.2020 tarihli ve 2020/466 sayılı kararı (“Karar”) hakkında bilgi vermek isteriz. I. Karar’ın Konusu Karar’ın konusunu oluşturan ihlal, bir sigorta şirketinin veri işleyeni olan acentesinde kullanılan bilgisayarlarda, yazışma ekranının açılması ve yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istemesi şeklinde gerçekleşen kimlik ve finans verilerinin ihlali olup veri sorumlusu şirket tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilmesiyle ortaya çıkmıştır.

II. Karar’ın Özeti

Veri sorumlusunun ihlali bildirmesi üzerine Kurum gerekli incelemeleri yapmıştır. Bu incelemeler doğrultusunda veri sorumlusu sigorta şirketi tarafından veri işleyen acenteye donanım sağlanmadığı gibi acentenin herhangi bir şekilde denetlenmediği ortaya çıkmıştır.

Bununla birlikte veri sorumlusu şirketin, çalışanlarına yönelik kişisel verilerin korunmasına ilişkin eğitim ve farkındalık çalışmaları yürütmekle yükümlü olmasına rağmen veri işleyen acente yetkilisinin söz konusu ihlal gerçekleşene kadar herhangi bir eğitim almadığı bilgisi elde edilmiştir. Ek olarak, veri işleyen tarafından kullanılan işletim sisteminin eski sürüm olması ve yine veri işleyen tarafından kullanılması gereken anti-virüs programının kullanılmaması nedeniyle veri sorumlusu ile veri işleyenin gerekli güvenlik önlemlerini almadığı tespit edilmiştir.

Kurul, tüm bu hususları dikkate alarak veri güvenliğinin sağlanmasına yönelik teknik ve idari tedbirlerin alınmaması nedeniyle Kişisel Verilerin Korunması Kanunu (“KVKK”) md. 12/1 ile 18/1-b hükümlerine dayanarak veri sorumlusuna idari para cezası uygulanmasına karar vermiştir. Aynı zamanda söz konusu ihlalden etkilenen kişilerin büyük çoğunluğunaihlal bildiriminde bulunulmamış, bildirimde bulunulan kesime ise toplamda ihlalin tespitinin üzerinden 1 aydan uzun süre geçmesiyle haber verilmiştir. Bu durumun Kanun’un 12/5. maddesinde ve 24.01.2019 tarih 2019/10 sayılı Kararda ifade edilen bildirim usullerine uygun şekilde gerçekleştirilmesi gerektiğinin veri sorumlusuna hatırlatılmasına karar verilmiştir.

III. Karar’da Dayanılan Gerekçeler

Kurul Karar’ında 6698 Sayılı KVKK hükümleri ile Kurum tarafından çıkarılmış olan teknik ve idari tedbirlere ilişkin Kişisel Veri Güvenliği Rehberi (“KVGR”) dayanak olarak gösterilmiştir. Buna göre ilk olarak KVGR’nin “Veri İşleyenlerile İlişkilerin Yönetimi” başlığı altında yer alan 2.5. maddesi ve KVKK md. 12/2’ye aykırılık tespit edilmiş, devamında ise yine KVGR’nin “Kişisel Verilerin Yedeklenmesi” başlığı altında düzenlenen 3.6. maddesi, “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen 2.2. maddesi ve son olarak “Siber Güvenliğin Sağlanması” başlığı altında yer alan 3.2. maddesine aykırılık tespit edilmiştir.

IV. Sonuç

Dijitalleşen dünyada sektör ne olursa olsun yazılım kullanmak kaçınılmaz hale gelmiştir. Dünyada birçok şirketin hacklenmesi, verilerinin sızması ve verilerin iadesi için fidye talep edilmesi sıkça görülmeye başlanmıştır. Bu bakımdan Kurul’un bu kararı veri sorumlusunun siber güvenlikte güncellemeleri takip etmesini ve önlemleri ivedilikle alması gerektiğinin altını çizmektedir.

Oğuz Kara (kara@oguzkara.av.tr)