Bir Bankanın Veri İhlali Hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/344 sayılı Karar Değerlendirilmesi

/in /tarafından

BİLGİLENDİRME NOTU

Konu: Bir Bankanın Veri İhlali Hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/344 sayılı Karar Değerlendirilmesi

Tarih: 13/10/2020

Kişisel Verileri Koruma Kurulu (“Kurul”), bankacılık sektöründe faaliyet gösteren bir veri sorumlusunun Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 12.maddesinin 1.fıkrasına uymadığı gerekçesiyle 1.000.000,00.-TL idari para cezası ceza ödemesine karar vermiştir.

 

Kurul yapmış olduğu incelemede;

  • Banka’nın iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren sistemler üzerinden şüpheli sorgulamaların yapıldığı tespit edilmiştir.
  • Teftiş Kurulu soruşturmasında, 3 personelin sistem üzerinden sorgulama yetkilerini bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde kullandıkları tespit edilmiştir.
  • Banka’nın müşterisi olmayan 7.706 kişinin ve banka müşterisi 17.582 kişinin bireysel nitelikteki kredi bilgilerinin hukuka aykırı şekilde erişildiği ve tespit edilmiş olup, banka tarafından gerekli teknik ve idari tedbirlerin alınmadığı sonucuna varılmıştır.
  • Sistem üzerinden sorgulaması yapılan kişilerin TC Kimlik Numaraları 3 personelin şahsi telefonları aracılığıyla banka dışına aktarmış olabilecekleri ihtimali olduğu tespit edilmiştir.
  • İhlalin gerçekleştiği tarih ile tespit edildiği tarih arasında Banka’nın bir şubesinde 24 ay, başka bir şubesinde 18 ay olduğu tespit edilmiş olup, kişisel verilerin ihlal tarihi ve tespit tarihi arasında bu kadar uzun bir zaman dilimi olması nedeniyle, kişisel veri güvenliği takibinin düzenli olarak yapılmadığı sonucuna varılmıştır.
  • Kurum tarafından yayımlanan, Kişisel Veri Güvenliği Rehberi içerisinde düzenlenen Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlıklı idari tedbire veri sorumlusu tarafından uyulmadığı tespit edilmiştir.
  • Veri sorumlusu tarafından idari tedbirlerin zamanında ve yeterince alınmadığı tespit edilmiştir.

 

Hükmedilen Ceza,

 

Banka’nın KVKK’nın 12. maddesinin 1. fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığından hareketle,

 

  • KVKK m.18 çerçevesinde 1.000.000,00.- TL;

 

idari para cezası uygulanmasına karar verilmiştir.

Saygılarımızla;