banner501

banner510

banner502

banner509

banner465

KVKK'dan Sigorta Şirketine Para Cezası!

“Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 24.11.2020 tarih ve 2020/905 sayılı Karar Özeti...

banner345
SİGORTA 30.01.2021, 12:35
KVKK'dan Sigorta Şirketine Para Cezası!
banner414

Karar Tarihi

:

24/11/2020

Karar No

:

2020/905

Konu Özeti

:

Amazon Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar

Veri sorumlusu bir sigorta şirketinin Kuruma intikal eden yazılarında özetle;

  • Veri sorumlusunun internet sayfasının bulunduğu test sunucusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği,

  • Test sunucusunda bulunan internet sayfasının kullanıcı giriş ekranından birden çok giriş denemesi yapılması sonucunda sisteme giriş sağlanabildiği,

  • Gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği,

  • Veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü,

  • Giriş denemeleri belirli aralıklarla yapılmış olduğundan SIEM sistemi tarafından algılanmadığı,

  • Yurtdışından çok fazla giriş denemesi gerçekleştiği ancak bunun herhangi bir anomaliye sebep vermediği,

  • İhlalden etkilenen kişi sayısının 311 olduğu,

  • İhlalden etkilenen kişisel verilerin T.C. kimlik no, isim, soy isim, e-posta, plaka bilgisi olduğu

ifadelerine yer verilmiştir.

Söz konusu kişisel veri ihlali bildiriminin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905 sayılı Kararı ile;

  • İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin yapılmadığının göstergesi olduğu,

  • Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz konusu kontrollerin uygun bir şekilde yapılmadığı,

  • Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı,

  • Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel veri ihlalinin söz konusu olmayacağının görüldüğü,

  • Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı,

  • Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği

hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,

Kurula ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği dikkate alındığında Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı,

  • Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği,

  • Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,

  • Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı

dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kaynak: Kvkk.gov.tr

banner362
Yorumlar (0)
Yorum yapabilmek için lütfen üye girişi yapınız!
banner353
açık
banner348
Günün Anketi Tümü
Sizce Yeni Sitemiz Nasıl Olmuş?
banner443
banner500
banner503
Puan Durumu
Takımlar O P
1. Beşiktaş 34 72
2. Fenerbahçe 34 69
3. Galatasaray 33 65
4. Trabzonspor 34 59
5. Hatayspor 34 53
6. Alanyaspor 34 52
7. Gaziantep FK 33 51
8. Sivasspor 34 51
9. Karagümrük 34 50
10. Göztepe 35 47
11. Rizespor 34 42
12. Antalyaspor 35 42
13. Konyaspor 34 41
14. Malatyaspor 33 37
15. Ankaragücü 33 37
16. Kasımpaşa 34 37
17. Kayserispor 34 35
18. Başakşehir 33 33
19. Gençlerbirliği 34 32
20. Erzurumspor 34 31
21. Denizlispor 33 26
Takımlar O P
1. Giresunspor 31 63
2. Adana Demirspor 31 61
3. Samsunspor 31 61
4. Altay 31 57
5. İstanbulspor 31 57
6. Altınordu 31 53
7. Ankara Keçiörengücü 31 49
8. Ümraniye 31 47
9. Tuzlaspor 31 47
10. Bursaspor 31 43
11. Bandırmaspor 31 39
12. Boluspor 31 38
13. Balıkesirspor 31 35
14. Adanaspor 31 34
15. Menemenspor 31 31
16. Akhisar Bld.Spor 31 26
17. Ankaraspor 31 23
18. Eskişehirspor 31 8
Takımlar O P
1. Man City 32 74
2. M. United 32 66
3. Leicester City 31 56
4. West Ham 32 55
5. Chelsea 31 54
6. Liverpool 32 53
7. Tottenham 32 50
8. Everton 31 49
9. Arsenal 32 46
10. Leeds United 32 46
11. Aston Villa 30 44
12. Wolverhampton 32 41
13. Crystal Palace 31 38
14. Southampton 31 36
15. Newcastle 32 35
16. Brighton 31 33
17. Burnley 32 33
18. Fulham 33 27
19. West Bromwich 31 24
20. Sheffield United 32 14
Takımlar O P
1. Atletico Madrid 31 70
2. Real Madrid 31 67
3. Barcelona 30 65
4. Sevilla 31 64
5. Villarreal 31 49
6. Real Betis 31 48
7. Real Sociedad 31 47
8. Granada 30 39
9. Levante 31 38
10. Celta de Vigo 31 38
11. Athletic Bilbao 30 37
12. Osasuna 31 37
13. Cádiz 31 36
14. Valencia 31 35
15. Getafe 31 31
16. Deportivo Alaves 31 27
17. Huesca 31 27
18. Real Valladolid 30 27
19. Elche 31 26
20. Eibar 31 23
banner419