Kişisel Verileri Koruma Kurulu (“Kurul”) veri ihlali sonrasında, gerekli tüm teknik ve idari tedbirleri alan veri sorumlusu hakkında yaptırım kararı almadığı ilk kararını yayımladı.
Karara konu veri ihlali 30 Eylül 2020 ve 5 Ekim 2020 tarihleri arasında yaşanmıştır. Veri sorumlusu tarafından dünya genelinde yaygın olan ve veri sorumlusu tarafından da kullanılan bir uygulamada bulunan açıktan yararlanılarak, veri sorumlusu nezdinde söz konusu uygulamanın bulunduğu tek sunucuya zararlı bir yazılımın yüklendiğinin tespit edilmiştir.
Kurul’un yaptığı inceleme sonucunda,
1.İhlal ile ilgili olan çalışanlara gerekli eğitimlerin verildiği, veri sorumlusunun vermiş olduğu eğitimlerin, katılım durumunu tevsik edici belgelerin ve log kayıtlarının veri ihlal bildirim formunun ekinde Kurul’a sunulduğu,
2.İhlalden önce aşağıdakiler dahil olmak üzere gerekli teknik tedbirlerin alındığı;
-
- Ağ güvenliği ve uygulama güvenliği,
- Kişisel verilerin yedeklenmesi ve yedeklenen kişisel verilerin güvenliğinin de sağlanması,
- Her yıl sızma testi uygulanması,
- Veri kaybı önleme yazılımlarının kullanımı,
- Saldırı tespit ve önleme sistemlerinin kullanımı,
- İhlalden önce gerekli idari tedbirlerin alındığı,
3. İhlalden sonra aşağıdakiler dahil teknik tedbirlerin alındığı,
- Zararlı yazılımın bulunduğu sunucunun host edildiği lokasyonun dış bağlantılara kapatılması,
- Adli bilişim yazılımları ile sistemin denetlenmesi,
- Kullanılan yedekleme sisteminin kontrollü bir lokasyona taşınması,
- İlk tespitlerde rastlanmamış olmasına karşın tekrardan hizmet temin edilen uzman firmadan alınan IOC bilgileri ve olaylara müdahale ekibi tarafından sağlanan kurallar aracılığıyla, sistemlerin ele geçirilmediğinin teyidine devam edilmesi,
- Ele geçtiği belirlenen uç noktalardan gerekli iz ve kayıtların toplanması,
4. İhlalden sonra gerekli idari tedbirlerin alındığını
tespit etmiştir.
Bu kapsamda Kurul,
- İhlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmayıp yaygın kullanılan bir uygulamadan kaynaklandığı; bu duruma veri sorumlusunun müdahale edemeyeceği,
- İhlalden etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği,
- Veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirtmesi,
- İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olması,
- Veri sorumlusunun makul teknik ve idari tedbirleri almış olması
- Veri sorumlusunun ihlali kısa zamanda fark etmiş olduğu,
hususlarını dikkate alarak veri ihlali bildirimi ile ilgili yapılacak başkaca bir işlem olmadığına karar vermiştir.
22 Ocak 2021 tarihinde Kurul’un resmi internet sitesinde yayımlanan 2020/787sayılı özet karara bu bağlantıdan ulaşabilirsiniz.