Bir şans oyunları sitesi, veri sızıntısı sonrasında bazı kullanıcılara ait telefon numaralarının da bulunduğu çeşitli bilgilerin yer aldığı listenin internet sitelerinde dolaştığını, ihlalin ne zaman gerçekleştiğinin bilinmediğini belirterek Kurula başvurdu.
Konuya ilişkin inceleme başlatan Kurul, yaşanan ihlalin teknik ve idari bir kusur olduğu sonucuna ulaştı.
İhlalden etkilenen kişi sayısının tespit edilemediğine, kişilere bildirim yapılmadığına işaret eden Kurul, bunun da teknik ve idari tedbirlerin tam olarak alınmadığının, uygulanmadığının göstergesi olduğu görüşüne vardı.
Kurul, söz konusu veri ihlalinin oluşmaması için Kişisel Verilerin Korunması Kanununda öngörülen gerekli idari ve teknik tedbirlerin alınmadığını belirleyerek veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği gerekçesiyle internet sitesinin ait olduğu şirketi 150 bin lira idari para cezasına çarptırdı.
Ayrıca kanunda yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir” hükmü hatırlatılarak, veri ihlali nedeniyle gerekli bildirimde bulunulmaması nedeniyle şirkete 30 bin lira idari para cezası verilmesi de kararlaştırıldı.
Kişisel Verileri Koruma Kurulu, bir turizm şirketi çalışanının bilgisayarına yetkisiz kişilerin ulaşması sonucunda müşteriler ve personele ait bazı bilgilerin ele geçirilmesinde de veri ihlali tespit etti.
Kurul, şirkete gerekli idari ve teknik tedbirlerin alınmaması, ihlale ilişkin bildirim yapılmaması gerekçesiyle toplam 500 bin lira idari para cezası verdi.
Böylece Kişisel Verileri Koruma Kurulu, her iki veri ihlali nedeniyle toplam 680 bin lira idari para cezasına hükmetmiş oldu.
Kaynak: AA