Bir Banka Nezdinde Gerçekleşen Veri İhlali ile İlgili Olarak Kişisel Verileri Koruma Kurulunun 26/11/2019 Tarihli ve 2019/352 Sayılı Karar Özeti
Bir Bankanın, Kurum kayıtlarına intikal eden Kişisel Veri İhlali Bildirim Formu ile yazısında;
- Banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) aynı personel tarafından mesnetsiz olarak görüntülendiği,
- Personelin en az 6 müşterinin verilerini Banka dışarısına çıkartarak yüksek miktarlı dolandırıcılık eylemlerine aracı olduğu ve menfaat sağlamış olmasının da kuvvetle muhtemel olduğu kanaatine ulaşıldığı,
- İhlalden etkilenen kişi sayısının 6 (altı), kayıt sayısının 24 (yirmi dört) olduğu,
- İhlalin sonucunda personelin usulsüz eylemleri nedeni ile Banka ile iş akdinin feshedildiği, personel ve olaya karışan tüm şahıslar hakkında dolandırıcılık ve zimmet suçlarından Savcılığa suç duyurusunda bulunulduğu,
- Bu kapsamda, müşterilerin hesaplarından kendi bilgileri dışında işlem gerçekleştirildiği ve müşteri zararı oluştuğu, müşterilerin tüm zararlarının Banka tarafından tazmin edildiği
belirtilmiştir.
Bankanın, Kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde Kurulun 26/11/2019 tarih ve 2019/352 sayılı Kararı ile;
- Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısının olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
- Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
- İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
- Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği,
hususları dikkate alındığında;
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 70.000 TL,
- Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre) bildirimde bulunma yükümlülüğüne uygun hareket etmeyen veri sorumlusu hakkında Kanunun 18’nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL
olmak üzere toplam 100.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Yorumumuz:
Banka çalışanının müşteri bilgilerini dışarıya maille yolladığı olayda çalışan hakkında zaten Cumhuriyet Savcılığına banka başvurmuş. Ancak buna rağmen “Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğundan bahisle idari para cezası uygulanmıştır.