Çalışanın yaptığı pahalıya patladı! Bankaya şok ceza
Bir banka çalışanı, 346 müşteriye ait hesap bilgilerini arkadaşının çalıştığı yatırım firmasına iletti. Durumun ortaya çıkmasıyla ayaklanan müşteriler Kişisel Verileri Koruma Kurulu’nun (KVKK) kapısını çaldı. Kurul, bankaya 275 bin TL ceza kesti.
Adalet Bakanlığı bünyesinde hizmet veren KVKK, kişisel verileri amacı dışında kullananlara ceza yağdırıyor. Bir bankanın çalışanı, 346 müşteriye ait kişisel bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Veri Sızıntısı ekibi veri ihlal bildirimini KVKK’ya aktardı. Yürütülen soruşturmada; çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği tespit edildi. Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı.
Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi. Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği tespit edildi. İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu belirlendi.
Bankaya 275 bin TL ceza
Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme
Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale
neden olan e-postanın DLP sistemleri tarafından engellenmemesine
dikkat çekildi. Kurul kararında "Gerekli teknik ve idari tedbirler
planlanarak uygulamaya konulmalıdır' ifadeleri uyarınca yetkisiz
olarak kişisel veri aktarımı önleme açısından veri sorumlusunun
almış olduğu tedbirlerin yetersiz kaldığı anlaşılmaktadır. Veri
güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik
ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu dikkate
alındığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve
idari tedbirleri almayan veri sorumlusu hakkında kabahatin
haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da
göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin
TL, ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu
bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza
bildirimin geç yapılması sebebiyle veri ihlalinin öğrenilmesinden
itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun
sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72
saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı
hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 (1)(b)
bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para
cezası uygulanmasına karar verilmiştir." denildi.