07.02.2022 tarihinde Kişisel Verileri Koruma Kurulunun (“Kurul”) “Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ. (“Yemeksepeti”) veri ihlal bildirimi hakkında” 23.12.2021 tarih ve 2021/1324 sayılı karar özeti yayınlanmıştır.
Karara Konu Olay
25.03.2021 tarihinde Yemeksepeti tarafından Kuruma ve takiben ilgili kişilere yapılan veri ihlal bildirimi kamuoyunda oldukça ses getirmişti. Veri ihlal bildiriminde 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından Yemeksepeti’ne ait bir web uygulama sunucusuna erişildiği, ihlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği, ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu belirtilmiştir.
Kurul Tespitleri
Veri ihlal bildirimi ile harekete geçen Kurul tarafından ihalin nasıl gerçekleştiği, etkilenen kişi sayısı ve ihlalin boyutu değerlendirilerek aşağıdaki tespitlerde bulunulmuştur:
-
İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırılması sebebiyle ihlalin “çok büyük çaplı” olduğu değerlendirilmiştir.
-
Sisteme üçüncü kişi veya kişiler tarafından zararlı yazılımların yüklenmesi ve giriş yapılması akabinde bu yazılımların çalıştırılmasının 8 gün boyunca fark edilmemesinin, bilişim ağlarında sızma veya olmaması gereken bir hareket olduğunun tespiti ve önlenmesi noktasında gerekli veri güvenliği tedbirlerinin veri sorumlusu tarafından alınmadığını gösterdiği belirtilmiştir.
-
Veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğu değerlendirilmiştir.
-
Sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilememesi ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu da dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu değerlendirilmiştir.
Sonuç olarak Kurul, Yemeksepeti’ne; veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması sebebine dayalı olarak ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da dikkate alınarak 1.900.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri sorumluları için Karardan önemli başlıklar
Dijitalleşen dünyada hemen her gündelik ihtiyacın taşındığı elektronik ortamda işlenen verilerin güvenliğinin sağlanması hem ilgili kişiler hem de veri sorumluları bakımından büyük önem taşımaktadır. Başta elektronik ticaret siteleri olmak üzere dijital dünyanın aktörleri bir araya getirdikleri kişiler üzerinden yarattıkları iş modelleri ile ekonomik bir menfaat elde ederken bir yandan siber saldırılarla mücadele etmek durumunda kalmaktadırlar. Gelişen teknoloji pek çok imkanı beraberinde getirirken kötü niyetli kişilerin siber saldırı metotları da çeşitlenmekte ve gelişmektedir. Bu noktada veri güvenliğini sağlamada zayıf kalan ve bireylerin kişisel verilerinin korunması noktasındaki beklentilerini karşılayamayan veri sorumlularını idari para cezaları ve itibar kaybı beklemektedir.
Karar ışığında Kurul tarafından yapılan incelemede idari para cezasının belirlenmesi noktasında belirleyici olan ve veri sorumluları bakımından teknik ve idari tedbirler bakımından dikkat edilmesi gereken hususlar:
-
Sızma testlerinin ve veri güvenliği takibinin güncel ve sağlıklı olarak yapılması,
-
Siber güvenliğin sağlanması, güvenlik yazılımlarının uyarılarının/bildirimlerinin takip edilmesi,
-
Siber saldırıların farkedilir farkedilmez harekete geçilmesi,
-
Veri güvenliği konusunda hizmet alınan üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının kurulmuş olmasıdır.
Önemle belirtmek isteriz ki, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“
GDPR”) veri sorumlularının mali bilançoları dikkate alınarak, mali bilançonun belli bir oranda yüzde karşılığı idari para cezası uygulaması KVKK’da düzenlenmemiştir. Bu nedenle, veri güvenliğine ilişkin aykırılık hâlinde uygulanacak olan 2021 yılı için geçerli olan ceza sınırının neredeyse en üst sınırından ceza uygulanmış olmasına rağmen karar özellikle veri ihlalinden etkilenen kişi sayısı gözetilerek bazı çevreler bakımından yetersiz bulunmuştur.
Önümüzdeki dönemde beklenen KVKK değişikliği kapsamında GDPR’da olduğu gibi yaptırımlara ilişkin hükümlerin de veri ihlallerinin büyüklüğü ve veri sorumlusunun yıllık cirosu gözönünde bulundurularak Kurul’a idari para cezası uygulama yetkisini içerir şekilde düzenlenebileceği değerlendirilmektedir.
Kararın tamamına
buradan ulaşabilirsiniz.
Saygılarımızla,
MORAL | KINIKOĞLU | PAMUKKALE | KÖKENEK