Banka Aleyhine 100.000 TL Tutarında İdari Para Cezası
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 16.11.2019 tarihli ve 2019/352 K. sayılı kararı (“Karar”) 8 Ocak 2019 tarihinde internet sitesinde yayınlamıştır. Karar, 2019 yılında bir banka personeli tarafından gerçekleştirilen veri ihlaline ilişkin verilen cezayı içermektedir.
Kurul, Banka tarafından yapılan kişisel veri ihlali bildirimi üzerine inceleme gerçekleştirmiştir. Yapılan inceleme sonucunda;
(i) Banka tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri alınmadığı gerekçesi ile 70.000 TL,
(ii) Banka tarafından kişisel veri ihlalinin Kurul’a “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre) bildirilmediği gerekçesi ile 30.000 TL
olmak üzere Banka aleyhine toplam 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Karar’a konu olay: Banka personelinin (i) iki farklı tarihte üç farklı müşterinin nüfus cüzdanı, bakiye, kimlik, iletişim vb. kişisel verilerinin şahsi e-posta adresine iletmesi; (ii) ilgili müşterilerden birinin hesabından sahte belgelerle para çekilmesi; ve (iii) üç başka müşterinin kişisel verilerinin de aynı personel tarafından mesnetsiz olarak görüntülenmesi, eylemlerini içermektedir.
Kurul Banka tarafından veri sızıntısı tespit/önlemeye ilişkin alınan tedbirlerin ihlali engellemeye yeterli olmadığını ve kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğunu belirtmiştir. Banka tarafından alındığı belirtilen teknik tedbirlerden biri :“Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği” şeklindedir.
2019 yılında da Kurul’un benzer gerekçelerle cezaya hükmettiği kararları mevcuttur. 2020 yılında yayınlanmış olan ilk Karar ile de Kurul’un veri güvenliğinin sağlanması için alınması gereken (özellikle teknik) tedbirler hususunda son derece hassas olduğu gözlenmektedir. Ayrıca, ihlalden etkilenen kişi sayısı ve Banka tarafından alınmış olan tedbirlerin yeterliliği gibi hususların Kurul’un vermiş olduğu ceza tutarında önemli rol oynadığı kanaatindeyiz.