09 Ocak 2020

Banka Aleyhine 100.000 TL Tutarında İdari Para Cezası

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 16.11.2019 tarihli ve 2019/352 K. sayılı kararı (“Karar”) 8 Ocak 2019 tarihinde internet sitesinde yayınlamıştır.  Karar, 2019 yılında bir banka personeli tarafından gerçekleştirilen veri ihlaline ilişkin verilen cezayı içermektedir.

Kurul, Banka tarafından yapılan kişisel veri ihlali bildirimi üzerine inceleme gerçekleştirmiştir.  Yapılan inceleme sonucunda;

(i) Banka tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri alınmadığı gerekçesi ile 70.000 TL,

(ii) Banka tarafından kişisel veri ihlalinin Kurul’a “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre) bildirilmediği gerekçesi ile 30.000 TL

olmak üzere Banka aleyhine toplam 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Karar’a konu olay: Banka personelinin (i) iki farklı tarihte üç farklı müşterinin nüfus cüzdanı, bakiye, kimlik, iletişim vb. kişisel verilerinin şahsi e-posta adresine iletmesi; (ii) ilgili müşterilerden birinin hesabından sahte belgelerle para çekilmesi; ve (iii) üç başka müşterinin kişisel verilerinin de aynı personel tarafından mesnetsiz olarak görüntülenmesi, eylemlerini içermektedir.

Kurul Banka tarafından veri sızıntısı tespit/önlemeye ilişkin alınan tedbirlerin ihlali engellemeye yeterli olmadığını ve kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğunu belirtmiştir.    Banka tarafından alındığı belirtilen teknik tedbirlerden biri :“Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği” şeklindedir.

2019 yılında da Kurul’un benzer gerekçelerle cezaya hükmettiği kararları mevcuttur.  2020 yılında yayınlanmış olan ilk Karar ile de Kurul’un veri güvenliğinin sağlanması için alınması gereken (özellikle teknik) tedbirler hususunda son derece hassas olduğu gözlenmektedir.  Ayrıca, ihlalden etkilenen kişi sayısı ve Banka tarafından alınmış olan tedbirlerin yeterliliği gibi hususların Kurul’un vermiş olduğu ceza tutarında önemli rol oynadığı kanaatindeyiz.

CLIENT ALERT


For further information, please contact:


YAYLA ALTUFAN KONUKÇU
Attorneys at Law
+ 90 (212) 236 36 44
[email protected]
www.yaklaw.com

Levent Mah. Sülün Sok. N.23
34330, Beşiktaş/Istanbul

Bu yayın, hukuki gelişmelere ilişkin genel ve limitli bilgi içermektedir. Bu yayın, hukuki görüş ve yönlendirme içermemektedir ve bu şekilde yorumlanmamalı ve kullanılmamalıdır.