“Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Karar Özeti
Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;
- Bankanın Uyum ve İç Kontrol Grubu tarafından düzenli gerçekleştirilen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği,
- Bu işlemlerin detaylı incelenmesi talebiyle konunun Teftiş Kurulu Başkanlığına ihbar edildiği,
- Teftiş Kurulu soruşturması sonucunda; Bireysel Müşteri ilişkileri Yöneticisi, Bireysel Müşteri İlişkileri Yönetici Yardımcısı, İşletme Müşteri İlişkileri Yönetici Yardımcısı unvanlarında çalışan ve olaya sebep olan 3 personelin görev ve iş tanımları gereği KKB sorgulama ekranına yetkileri bulunduğu, ancak söz konusu 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı,
- Banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği,
- 3 personelin söz konusu sorgulamalara konu olan kişilerin TCKN’lerini şahsi telefonları üzerinden üçüncü kişi/kişilerden temin ettikleri, personelin söz konusu verileri bankanın sistemlerini kullanarak aktardığına ilişkin bir bulgu olmadığı ancak şahsi telefonları üzerinden elektronik haberleşme programları kullanarak Banka dışına aktarmış olabileceği
ifadelerine yer verildiğinden hareketle yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Kararı ile;
- İhlalden 25.288 kişinin etkilendiği, etkilenen kişilerden 17.582’sinin Banka müşterisi olduğu, 7.706 kişinin Banka müşterisi olmadığı dikkate alındığında özellikle Banka müşterisi olmayan kişilere ait KKB sorgulamaları için Banka tarafından zamanında gerekli teknik ve idari tedbirlerin almadığının değerlendirildiği,
- Kişisel Veri Güvenliği Rehberinde teknik tedbirler arasında yer alan “Kişisel Veri Güvenliğinin Takibi” başlığı altında belirtilen hususların aksine, Bankanın şubelerinden birinde ihlale sebep olan personelin ihlal fiillerinin 10.07.2017 tarihinde başlamasına rağmen; bu ihlal fiilinin 08.07.2019 tarihinde tespit edildiği; benzer şekilde Bankanın başka bir şubesindeki ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay gibi oldukça uzun bir süre bulunduğu, bu durumun kişisel veri güvenliği takibi noktasında veri sorumlusu tarafından güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmediğinin göstergesi olduğu,
- Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen, veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği, ancak bunun veri sorumlusu tarafından sağlanmadığının görüldüğü,
- Veri sorumlusu tarafından ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu,
- Veri sorumlusu tarafından ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu
dikkate alınarak, Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL idari para cezası uygulanmasına
karar verilmiştir.