Çalışan bilgileri paylaştı, cezayı banka yedi

 Çalışan bilgileri paylaştı, cezayı banka yedi

Adalet Bakanlığı bünyesinde hizmet veren KVKK, ferdî dataları gayesi dışında kullananları cezalandırmaya devam ediyor.

Bir bankanın çalışanı, 346 müşteriye ilişkin şahsî bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Data Sızıntısı takımı data ihlal bildirimini KVKK’ya aktardı.

346 MÜŞTERİNİN BİLGİSİ PAYLAŞILDI

Yürütülen soruşturmada; çalışanın 346 müşteriye ilişkin bilgileri bir word dokümanına işlediği ve kelam konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu tez ettiği 3. şahsa gönderdiği tespit edildi. Kelam konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen ferdî data kategorilerinin kimlik, irtibat, müşteri süreç ve finans dataları olduğu ortaya çıktı.

Bilgileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın bağlı olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın dataları toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi. Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım süreci fiyat bilgilerinin etkilendiği tespit edildi.

İhlal ile ilgili olan işçinin bilgi ihlalinin gerçekleşmesinden 1 seneyi aşkın mühlet evvel 09.10.2018 tarihinde “Kişisel Bilgilerin Korunması Kanunu” eğitimini tamamlamış olmasına karşın, bahse bahis eğitimden sonra şahsen ihlali gerçekleştirmiş olmasının verilen eğitimin kâfi ve faal olmadığı konusunda kuşku oluşturduğu belirlendi.

275 BİN TL CEZA VERİLDİ

Banka dışına giden e-postalara ait Data Sızıntısı Tespit/Önleme Sistemi’nin mevcut olduğunun belirtilmesine karşın kelam konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi. Şura kararında şu sözlere yer verildi:

“Gerekli teknik ve idari önlemler planlanarak uygulamaya konulmalıdır” tabirleri uyarınca yetkisiz olarak şahsî data transferi tedbire açısından bilgi sorumlusunun almış olduğu önlemlerin yetersiz kaldığı anlaşılmaktadır.

Bilgi güvenliğini sağlamaya yönelik bilgi sorumlusunun almış olduğu teknik ve idari önlemlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında kabahatin haksızlık içeriği, bilgi sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin TL, ilgili şahıslara gerekli bildirimlerin yapıldığı ve kelam konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır.

Kurumumuza bildirimin geç yapılması sebebiyle data ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik müddet içerisinde bildirim şartının sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik mühlet içerisinde) bildirimde bulunma yükümlülüğüne karşıt hareket etmesi nedeniyle bilgi sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”

Yapılan Yorumlar
Bir Yorum Yapın