KURUM KARARLARI VE DUYURULAR
2- İSPANYA VERİ KORUMA AJANSI “VODAFONE ESPAÑA” ‘YA GDPR HÜKÜMLERİNİN İHLALİNDEN DOLAYI YAPTIRIM UYGULADI.
GÜNCEL HABERLER
KURUM KARARLARI VE DUYURULAR
HOLLANDA VERİ KORUMA OTORİTESİ TRANSAVİA’YA 400.000 EURO CEZA VERDİ.
Transavia’nın veri ihlali bildiriminin ardından Hollanda Veri Koruma Otoritesi konuya ilişkin bir inceleme başlattı. Söz konusu inceleme 2019 yılında bir hacker tarafından 25 milyon yolcunun verilerine erişim sağlandığı ve 83.000 yolcunun verilerinin indirildiği olay üzerine yoğunlaştı. Olaya ilişkin elde edilen veriler, şirketin IT departmanının hesaplarına erişimin;
• Şifrelerin güçsüzlüğü,
• Şifreleme sistemin yanında herhangi bir ek güvenlik önleminin olmaması,
• Yetki matrisinin kurgulanmasında hataların bulunması,
nedeniyle oldukça kolaylaştığını ortaya çıkardı. Buna bağlı olarak Transavia’nın güvenlik önlemlerinin yetersizliği 400.000 Euro’luk cezayı da beraberinde getirdi. [1]
İSPANYA VERİ KORUMA AJANSI “VODAFONE ESPAÑA” ‘YA GDPR HÜKÜMLERİNİN İHLALİNDEN DOLAYI YAPTIRIM UYGULADI.
Davanın konusunu telefon şirketinin 3. kişiye ait telefon faturası bilgilerini davacıya göndermesi ve söz konusu olayın 8 ay ila 1 yıl arasında devam etmesi oluşturmaktadır. Ajans, ilgili durumun GDPR’ın 5. Maddesinde yer alan kişisel veri işleme ilkelerine ve 30.maddesinde yer alan işleme güvenliğine aykırılık oluşturduğuna karar vermiştir. Buna bağlı olarak kişisel verilerin işlenmesinde yeterli teknik ve idari tedbirlerin alınmaması ve bu durumun sonucunda, süreci de göz önünde bulundurarak, veri sorumlusu olan telefon şirketine 50.000 Euro yaptırım uygulamıştır. [2]
HOLLANDA VERGİ DAİRESİ BİNLERCE KİŞİNİN VERİ GİZLİLİĞİNİ İHLAL ETTİ.
Hollanda Kişisel Verileri Koruma Kurumu (Autoriteit Persoonsgegevens-AP), Hollanda Vergi Dairesi’nin kara listeye aldığı binlerce kişinin veri güvenliğini ihlal ettiğini bildirdi.
Kurum tarafından yayınlanan rapora dair yapılan açıklamada dairenin yedi yılda yaklaşık iki yüz yetmiş bin kişinin veri gizliliğini ihlal ettiği ve söz konusu durumun GDPR maddelerini de ihlal ettiği belirtildi.
Açıklamada ayrıca yasal dayanağı olmaksızın kişisel verilerin işlendiği, kişisel verilerin sistemde çok uzun süre saklandığı binlerce kişinin hatalı biçimde kara listeye alındığı ve bundan dolayı birçok kişinin incelemeye tabi tutulduğu aktarıldı. [3]
KİŞİSEL VERİLERİ KORUMA KURUMU, BELEDİYELERLE İLGİLİ KAMUOYU DUYURUSU YAYINLADI.
Kurum’un yaptığı incelemeler sonucu aldığı 25.02.2021 tarihli 2021/140 sayılı kararda salt TCKN girilerek gerçekleştirilen tek kademeli giriş yerine üyelik ve şifre ya da çift kademeli doğrulama yolunun tercih edilmesi gerektiği belirtilmiş ve buna uyumlanma için ilgili karara dair 09.04.2021 tarihinde yayınlanan 52863 sayılı yazıyı müteakip belediyelere 3 aylık bir süre verilmiştir.
Duyuruda ayrıca, verilen 3 aylık süre içerisinde gerekli uyumlanmayı gerçekleştirmeyip bahse konu aykırılığa sebebiyet verenler hakkında Kanun kapsamında disiplin hükümlerine göre işlem yapılmasının istendiği ve bunun sonucuna dair de Kurul’a bilgi verilmesi konusunda belediyelerin talimatlandırıldığı kararı yer almaktadır.[4]
GÜNCEL HABERLER
BİLGİSAYAR KORSANLARI “YEMEKSEPETİ”’Nİ UYARAN YENİ BİR BİLDİRİM YAYINLADI
DW Türkçe’ye yazılı olarak konuya ilişkin bilgi veren bilgisayar korsanları, söz konusu saldırının Ekim ayında gerçekleştiğini ve 20 milyondan fazla kişinin kişisel verilerinin ellerinde olduğunu iddia etti. Korsanlar, 22 Kasım’a kadar fidye olarak istedikleri miktarın (5 Bitcoin) taraflarına iletilmemesi halinde verilerin yayınlanacağını duyurdular. Ayrıca korsanlar “Rusya merkezli” olduklarını ve söz konusu oluşumla ilgili başka bir bilgi paylaşmayacaklarını eklediler. Öte yandan Yemeksepeti konuya ilişkin açıklamalarında herhangi bir veri sızıntısının meydana gelmediği görüşünü sürdürmekte. [5]
ÜNLÜ FİNANSAL İŞLEM PLATFORMU ROBINHOOD, 7 MİLYON KULLANICIYA AİT KİŞİSEL VERİNİN ÇALINMASI OLAYI İLE GÜNDEME GELDİ
Şirket tarafından yapılan açıklamaya göre söz konusu olayda kullanıcılara ait olan sosyal güvenlik numaraları,banka hesap numaraları, kredi kartı bilgileri gibi veriler veri sızıntısına konu olmadı. Bu nedenle kullanıcıların bu olaydan dolayı herhangi bir finansal kayıp yaşamayacakları ön görülmekte. Buna ek olarak bilgisayar korsanları tarafından ele geçirilen kullanıcı isimleri,adresleri,doğum tarihleri her ne kadar bu bilgiler kadar hassas nitelikte olmasa da kullanıcılara zarar verilebilmesi ihtimalinin önüne geçmemekte.(spam mail, sosyal mühendislik çalışmaları,vb.)
Ortaya çıkan bir diğer iddiaya göre bir forum sitesinde söz konusu çalınan veriler “pompompurin” isimli bir kullanıcı tarafından 10.000 doların üzerinde bir fiyatla satışa sunulmuş durumda. [6]
MEDİAMARKT’A SİBER SALDIRI DÜZENLENDİ: MİLYONLARCA DOLAR FİDYE TALEP EDİLDİ.
Almanya merkezli elektronik perakende devi MediaMarkt, devasa bir siber saldırıya maruz kaldı. Şirketin 6698 s. Kişisel Verilerin Korunması Kanunu’nun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı on ikinci maddesinin beşinci fıkrası çerçevesinde Kurul’a yaptığı bildirimde fiziksel ve çevrimiçi mağazalardaki sunucuları dahil olmak üzere yaklaşık 3200 Windows sunucusunun söz konusu ihlalden etkilendiği, bununla birlikte Linux sunucularının etkilenmediği belirtilmiştir.
Uluslararası hacker grubu Hive tarafından gerçekleştirilen saldırıda şirketin tüm verilerinin şifrelediği ve sistemlerinin kapatıldığı da bildirilmiştir. Hacker grubu, şifrelenen veriler için verecekleri şifre çözücü karşılığında fidye olarak 50 milyon dolar değerinde BTC talep etmiştir. [7][8]
KİŞİSEL VERİLERİ KORUMA KURUMU İLE RADYO VE TELEVİZYON ÜST KURULU (RTÜK) ARASINDA İŞ BİRLİĞİ PROTOKOLÜ İMZALANDI.
Radyo ve televizyon yayınlarında özel hayatın gizliliği ihlal edilebildiği ve bilinerek veya bilinmeyerek pek çok kişisel veri kolaylıkla açıklanabildiği için bunların önüne geçebilmek amacıyla Kurum ve RTÜK arasında 6698 s. Kişisel Verilerin Korunması Kanunu ve 6112 s. Radyo ve Televizyonların Kuruluş ve Yayın Hizmetleri Hakkında Kanun çerçevesinde iş birliği protokolü imzalandı.
Söz konusu protokole göre, her iki kurum içinde iş birliğini sağlayabilmek amacıyla gerçekleştirilecek eğitim, seminer, çalıştay ve benzeri faaliyetleri yürütecek bir koordinasyon birimi oluşturulacak. 2 yıl süreyle yürürlükte kalacak protokol, süre bitimine 30 gün kala taraflardan birisi fesih bildiriminde bulunmadığı takdirde 1 yıl süreyle aynı şartlar altında kendiliğinden yenilenecek. [9]
KAYNAKLAR
[6] https://cybernews.com/news/robinhood-hack-data-of-seven-million-investors-stolen-by-threat-actors/
YAZAR
Bilgi Teknolojileri Hukuku Birimi
Comentários