Türkiye Kişisel Verileri Koruma Kurumu (“Kurum”), 22/05/2020 tarih ve 2020/241 sayılı kişisel bakım sektöründe faaliyet gösteren bir veri sorumlusunun veri ihlali bildirimi kararı yayımlandı. Karar yapılan testlerin yetersiz olması nedeniyle geç tespit edilen bir ihlale ilişkindir.
Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde aşağıdaki hususlar ortaya çıkmıştır:
- 06.03.2020 tarihinde veri sorumlusu e-posta adresine kimliği belirsiz bir şahıstan veri sorumlusu web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiğine dair bir mesaj gelmiştir.
- Yapılan incelemelerde sitede 14.000'den fazla IP bağlantısı ve 500.000'den fazla e-posta/şifre kombinasyonunun denendiği tespit edilmiştir. Bahsi geçen kişiler bu yolla 2092 site kullanıcısının hesaplarının şifrelerini doğrulamışlardır.
Kurum kararında aşağıdaki kanaatlerde bulunmuştur:
- İhlalden veri sorumlusu müşterilerine ait ad-soyadı, e-posta, cep telefonu, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilenebilmektedir.
- Veri sorumlusunun kendi olağan trafiğinde bu trafiğin veri sorumlusunca fark edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta sonucunda ihlalin tespit edildiği göz önünde bulundurulmuştur.
- Hesabına giriş yapılan 2092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi hususunda eksiklik olduğunu göstermektedir.
Yukarıda açıklanan sebeplerden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 210.000 TL idari para cezası uygulanmasına karar vermiştir.
Yazar: Melis Karadeniz