Kişisel Verilerin İhlaline Karşı Sigorta Poliçesi
30/10/2019Kişisel Verileri Koruma Kurulu’nun 27.08.2019 tarihinde verdiği karara konu olan olayda; şirket çalışanlarının birisinin bilgisayarına sızan zararlı bir yazılım şirket ağında bulunan diğer bilgisayarlardaki personel ve müşterilere ait kişisel verileri ele geçirmiştir.
Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri gibi personel bilgileri ile Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi (DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No (DB-Veri tabanı seviyesinde şifreli), cinsiyet gibi müşteri bilgileri ihlale konu olmuştur.
Kurul konuyu incelediğinde;
Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğu,
Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğu,
İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğu, – Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu
gerekçeleri ile veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL ve ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Karardan da görüldüğü üzere; kişisel verilerin korunması günümüzde artık Türkiye için de çok önemli bir hale gelmiştir. Topladığı kişisel verileri gereği gereği gibi koruyamayan, kişisel verilerin ihlale uğramaması için gerekli teknik ve idari tedbirleri almayan kişi, kurum ve kuruluşlara ağır yaptırımlar uygulanmaktadır. Ancak Kişisel verilerin ihlali bu kararda olduğu gibi çoğu zaman bizlerin kontrol edemeyebileceği hiç beklenmedik açıklardan dahi meydana gelebilir.
Bu sebeple gerekli tedbirlerin alınması ve hatta Kurul tarafından hükmedilecek cezaları da teminat altına alabilen sigorta poliçeleri yaptırılarak kişisel verilerin ihlali durumunda güvende olunmasında faydalı olacaktır.