Kişisel Verileri Koruma Kurulunun Yeni Yayımlanan Kararı

Kişisel Verilerin Korunması Hakkında Kanun’un (“Kanun”) 15 ve 22. Maddeleri uyarınca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) veri sahiplerinin şikayeti üzerine veya resen görev alanına giren konularda inceleme yapma ve ihlal üzerine idari para cezası tanzim etme yetkisi bulunmaktadır. Kurul, yaptığı incelemeler sonucunda önemli gördüğü ve emsal oluşturabileceğini düşündüğü kararların özetlerini internet sitesinde yayımlamaktadır.

Kurul tarafından yayımlanan “uygulama kullanıcılarının bilgilerine ilişkin veri ihlali” hakkındaki karar özetini aşağıda bilgilerinize sunarız. Uygulama Kullanıcılarının Bilgilerine İlişkin Veri İhlali Hakkında Kişisel Verileri Koruma Kurulunun 17.07.2019 Tarihli ve 2019/222 Sayılı Kararı Kullanıcılarına dublaj yapma ve bunları sosyal medyada paylaşma imkanı sağlayan uygulama şirketi, gazeteci olduğunu iddia eden bir kişinin e-posta ile karanlık ağda (Darknet) uygulama kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişinin varlığını bildirmesiyle veri ihlalinden haberdar olmuş; iddiaları soruşturmak için bir dijital adli tıp firmasıyla anlaşmış ve inceleme başlatmıştır.

Bu inceleme sonucunda, kullanıcı bilgilerini içeren veri kopyasının satın alınması ile olayın meydana gelmesinden şüphelenilmiş ve halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı tespit edilmiştir. Şirketin ihlalin tekrarlanmaması adına güvenlik tedbirlerinin güçlendirilmesi, ağ ve sistemlerin güvenli olması da dahil olmak üzere gerekli adımların atıldığını belirtmesine rağmen Kurul tarafından yapılan incelemede hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerden oluşan bilgilerinin Darknet web’de satıldığı ve bu verilerin Kasım 2018’den beri satışta olduğunun tahmin edildiği hususları dikkate alınarak veri ihlalinin nasıl gerçekleştiğinin bilinmediği, veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının şirketin teknik ve idari bakımdan kusurlu olduğunu gösterdiği, şirketin bu büyük çaptaki veri ihlaliyle ilgili olarak kullanıcılarını bilgilendirmediği ve kullanıcıların ancak belli bazı sitelerden verilerinin ihlal edilip edilmediğini öğrenebildikleri tespit edilmiştir.

Bu nedenle Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesine göre kişisel verilerin muhafazasının sağlanmasını temin etmek için gerekli idari ve teknik tedbirlerin alınmaması sebebiyle ilgili kanunun 18. maddesi uyarınca 680.000 TL ve yine 12. madde kapsamında “en kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulama nedeniyle ilgili kanunun 18. maddesi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul, ihlalden etkilenen kişi sayısı dikkate alındığında 6698 sayılı kanunun 12. maddesi gereğince söz konusu ihlalin Kurumun internet sitesinde ilan edilmesine karar vermiştir.

Kişisel Verileri Koruma Kanunu