KVKK BÜLTENİ 20. Sayı



KURUM KARARLARI VE DUYURULAR

1- HOLLANDA VERİ KORUMA OTORİTESİ TRANSAVİA’YA 400.000 EURO CEZA VERDİ.

2- İSPANYA VERİ KORUMA AJANSI “VODAFONE ESPAÑA” ‘YA GDPR HÜKÜMLERİNİN İHLALİNDEN DOLAYI YAPTIRIM UYGULADI.

3- HOLLANDA VERGİ DAİRESİ BİNLERCE KİŞİNİN VERİ GİZLİLİĞİNİ İHLAL ETTİ.

4- KİŞİSEL VERİLERİ KORUMA KURUMU, BELEDİYELERLE İLGİLİ KAMUOYU DUYURUSU YAYINLADI.


GÜNCEL HABERLER

1- BİLGİSAYAR KORSANLARI “YEMEKSEPETİ”’Nİ UYARAN YENİ BİR BİLDİRİM YAYINLADI

2-ÜNLÜ FİNANSAL İŞLEM PLATFORMU ROBINHOOD, 7 MİLYON KULLANICIYA AİT KİŞİSEL VERİNİN ÇALINMASI OLAYI İLE GÜNDEME GELDİ

3- MEDİAMARKT’A SİBER SALDIRI DÜZENLENDİ: MİLYONLARCA DOLAR FİDYE TALEP EDİLDİ.

4-KİŞİSEL VERİLERİ KORUMA KURUMU İLE RADYO VE TELEVİZYON ÜST KURULU (RTÜK) ARASINDA İŞ BİRLİĞİ PROTOKOLÜ İMZALANDI.




KURUM KARARLARI VE DUYURULAR



HOLLANDA VERİ KORUMA OTORİTESİ TRANSAVİA’YA 400.000 EURO CEZA VERDİ.

Transavia’nın veri ihlali bildiriminin ardından Hollanda Veri Koruma Otoritesi konuya ilişkin bir inceleme başlattı. Söz konusu inceleme 2019 yılında bir hacker tarafından 25 milyon yolcunun verilerine erişim sağlandığı ve 83.000 yolcunun verilerinin indirildiği olay üzerine yoğunlaştı. Olaya ilişkin elde edilen veriler, şirketin IT departmanının hesaplarına erişimin;

• Şifrelerin güçsüzlüğü,

• Şifreleme sistemin yanında herhangi bir ek güvenlik önleminin olmaması,

• Yetki matrisinin kurgulanmasında hataların bulunması,

nedeniyle oldukça kolaylaştığını ortaya çıkardı. Buna bağlı olarak Transavia’nın güvenlik önlemlerinin yetersizliği 400.000 Euro’luk cezayı da beraberinde getirdi. [1]




İSPANYA VERİ KORUMA AJANSI “VODAFONE ESPAÑA” ‘YA GDPR HÜKÜMLERİNİN İHLALİNDEN DOLAYI YAPTIRIM UYGULADI.

Davanın konusunu telefon şirketinin 3. kişiye ait telefon faturası bilgilerini davacıya göndermesi ve söz konusu olayın 8 ay ila 1 yıl arasında devam etmesi oluşturmaktadır. Ajans, ilgili durumun GDPR’ın 5. Maddesinde yer alan kişisel veri işleme ilkelerine ve 30.maddesinde yer alan işleme güvenliğine aykırılık oluşturduğuna karar vermiştir. Buna bağlı olarak kişisel verilerin işlenmesinde yeterli teknik ve idari tedbirlerin alınmaması ve bu durumun sonucunda, süreci de göz önünde bulundurarak, veri sorumlusu olan telefon şirketine 50.000 Euro yaptırım uygulamıştır. [2]




HOLLANDA VERGİ DAİRESİ BİNLERCE KİŞİNİN VERİ GİZLİLİĞİNİ İHLAL ETTİ.

Hollanda Kişisel Verileri Koruma Kurumu (Autoriteit Persoonsgegevens-AP), Hollanda Vergi Dairesi’nin kara listeye aldığı binlerce kişinin veri güvenliğini ihlal ettiğini bildirdi.

Kurum tarafından yayınlanan rapora dair yapılan açıklamada dairenin yedi yılda yaklaşık iki yüz yetmiş bin kişinin veri gizliliğini ihlal ettiği ve söz konusu durumun GDPR maddelerini de ihlal ettiği belirtildi.


Açıklamada ayrıca yasal dayanağı olmaksızın kişisel verilerin işlendiği, kişisel verilerin sistemde çok uzun süre saklandığı binlerce kişinin hatalı biçimde kara listeye alındığı ve bundan dolayı birçok kişinin incelemeye tabi tutulduğu aktarıldı. [3]




KİŞİSEL VERİLERİ KORUMA KURUMU, BELEDİYELERLE İLGİLİ KAMUOYU DUYURUSU YAYINLADI.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan 05.11.2021 tarihli duyuruda, belediyelerin internet üzerinden verdiği bazı hizmetlerde yalnızca TCKN girilerek bir vatandaşın emlak bilgisine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği hususunda çok sayıda ihbarın Kurum’a iletildiği ifade edilmiş ve Kurum’dan bu konuya dair 6698 s. Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında inceleme yapması talebinde bulunulduğu aktarılmıştır.


Kurum’un yaptığı incelemeler sonucu aldığı 25.02.2021 tarihli 2021/140 sayılı kararda salt TCKN girilerek gerçekleştirilen tek kademeli giriş yerine üyelik ve şifre ya da çift kademeli doğrulama yolunun tercih edilmesi gerektiği belirtilmiş ve buna uyumlanma için ilgili karara dair 09.04.2021 tarihinde yayınlanan 52863 sayılı yazıyı müteakip belediyelere 3 aylık bir süre verilmiştir.


Duyuruda ayrıca, verilen 3 aylık süre içerisinde gerekli uyumlanmayı gerçekleştirmeyip bahse konu aykırılığa sebebiyet verenler hakkında Kanun kapsamında disiplin hükümlerine göre işlem yapılmasının istendiği ve bunun sonucuna dair de Kurul’a bilgi verilmesi konusunda belediyelerin talimatlandırıldığı kararı yer almaktadır.[4]



GÜNCEL HABERLER



BİLGİSAYAR KORSANLARI “YEMEKSEPETİ”’Nİ UYARAN YENİ BİR BİLDİRİM YAYINLADI

DW Türkçe’ye yazılı olarak konuya ilişkin bilgi veren bilgisayar korsanları, söz konusu saldırının Ekim ayında gerçekleştiğini ve 20 milyondan fazla kişinin kişisel verilerinin ellerinde olduğunu iddia etti. Korsanlar, 22 Kasım’a kadar fidye olarak istedikleri miktarın (5 Bitcoin) taraflarına iletilmemesi halinde verilerin yayınlanacağını duyurdular. Ayrıca korsanlar “Rusya merkezli” olduklarını ve söz konusu oluşumla ilgili başka bir bilgi paylaşmayacaklarını eklediler. Öte yandan Yemeksepeti konuya ilişkin açıklamalarında herhangi bir veri sızıntısının meydana gelmediği görüşünü sürdürmekte. [5]




ÜNLÜ FİNANSAL İŞLEM PLATFORMU ROBINHOOD, 7 MİLYON KULLANICIYA AİT KİŞİSEL VERİNİN ÇALINMASI OLAYI İLE GÜNDEME GELDİ

Şirket tarafından yapılan açıklamaya göre söz konusu olayda kullanıcılara ait olan sosyal güvenlik numaraları,banka hesap numaraları, kredi kartı bilgileri gibi veriler veri sızıntısına konu olmadı. Bu nedenle kullanıcıların bu olaydan dolayı herhangi bir finansal kayıp yaşamayacakları ön görülmekte. Buna ek olarak bilgisayar korsanları tarafından ele geçirilen kullanıcı isimleri,adresleri,doğum tarihleri her ne kadar bu bilgiler kadar hassas nitelikte olmasa da kullanıcılara zarar verilebilmesi ihtimalinin önüne geçmemekte.(spam mail, sosyal mühendislik çalışmaları,vb.)


Ortaya çıkan bir diğer iddiaya göre bir forum sitesinde söz konusu çalınan veriler “pompompurin” isimli bir kullanıcı tarafından 10.000 doların üzerinde bir fiyatla satışa sunulmuş durumda. [6]