top of page

Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Yemek Sepeti Kararı Hakkında

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 23/12/2021 tarihinde veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin etkili bir şekilde yapılmaması hakkında emsal niteliğinde bir karar verilmiştir.


Bilindiği üzere son zamanlarda kişisel veriler pazarlama gibi birçok alanda kullanılan önemli veriler haline geldiğinden kişisel verilerin çeşitli yasa dışı faaliyetler ile elde edilmesi gündeme gelmektedir. 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusu olan Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ’ye (Yemeksepeti) ait web sunucusuna erişilmek suretiyle 21.504.083 Yemeksepeti kullanıcısının kişisel verileri elde edilmiştir. Kuruma intikal eden veri ihlal bildirimi incelenmiş ve karara varılmıştır.


Kurul, yaptığı inceleme sonucunda ihlalin 18.03.2021 tarihinde gerçekleşmesine rağmen veri sorumlusu tarafından 25.03.2021 tarihinde ihlalin fark edildiğini belirtmiş ve bu kapsamda sisteme zararlı yazılımlarla giren kişi veya kişilerin 8 gün gibi uzun bir süre boyunca bilgi topladığını ve zararlı yazılımlar yükleyerek çalıştırdığını belirtmiştir. Kurum kararları uyarınca, veri sorumlularının bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında sorumlulukları vardır. Bu kapsamda 8 gün boyunca söz konusu ihlali fark etmeyen Yemeksepeti’nin kusurunun bulunduğu tespit edilmiştir. Aynı şekilde üçüncü parti firmaların ihlal sonucu yazılımların alarm vermesini göz ardı edip Yemeksepeti’ne bildirmemeleri de Kurum tarafından veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi niteliğinde değerlendirilmiştir. 28.2 GB’lık 21.504.083 veri sahibinin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgilerini içeren veriler saldırganlar tarafından Fransa’da bulunan bir IP adresine ait sunucuya iletildiği tespit edilmiştir. Dolayısıyla Kurul, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğunu belirtmiş, veri sorumlusu tarafından sızma testlerinin etkin şekilde yapmadığını ve ihlal karşısında müdahalede geç kaldığını tespit etmiştir.


Sonuç olarak, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak üst sınır olan 1.966.862.-TL’ye oldukça yakın bir miktar olan 1.900.000.- TL idari para cezası uygulanmasına karar verilmiştir.


Kararın tamamına aşağıdaki linkten ulaşabilirsiniz: https://kvkk.gov.tr/Icerik/7168/2021-1324

Son Yazılar

Hepsini Gör

Comments


bottom of page