Çalışan bilgileri paylaştı, cezayı banka yedi

Adalet Bakanlığı bünyesinde hizmet veren KVKK, şahsî dataları gayesi dışında kullananları cezalandırmaya devam ediyor.

Bir bankanın çalışanı, 346 müşteriye ilişkin şahsî bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Bilgi Sızıntısı grubu bilgi ihlal bildirimini KVKK’ya aktardı.

346 MÜŞTERİNİN BİLGİSİ PAYLAŞILDI

Yürütülen soruşturmada; çalışanın 346 müşteriye ilişkin bilgileri bir word dokümanına işlediği ve kelam konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu sav ettiği 3. şahsa gönderdiği tespit edildi. Kelam konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen ferdî bilgi kategorilerinin kimlik, irtibat, müşteri süreç ve finans bilgileri olduğu ortaya çıktı.

Dataları paylaşılan müşterilerin ihlale sebebiyet veren çalışanın bağlı olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın dataları toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi. Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım süreci meblağ bilgilerinin etkilendiği tespit edildi.

İhlal ile ilgili olan çalışanın bilgi ihlalinin gerçekleşmesinden 1 seneyi aşkın müddet evvel 09.10.2018 tarihinde “Kişisel Dataların Korunması Kanunu” eğitimini tamamlamış olmasına karşın, bahse bahis eğitimden sonra şahsen ihlali gerçekleştirmiş olmasının verilen eğitimin kâfi ve aktif olmadığı konusunda kuşku oluşturduğu belirlendi.

275 BİN TL CEZA VERİLDİ

Banka dışına giden e-postalara ait Data Sızıntısı Tespit/Önleme Sistemi’nin mevcut olduğunun belirtilmesine karşın kelam konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi. Konsey kararında şu tabirlere yer verildi:

“Gerekli teknik ve idari önlemler planlanarak uygulamaya konulmalıdır” sözleri uyarınca yetkisiz olarak ferdî bilgi transferi tedbire açısından bilgi sorumlusunun almış olduğu önlemlerin yetersiz kaldığı anlaşılmaktadır.

Data güvenliğini sağlamaya yönelik data sorumlusunun almış olduğu teknik ve idari önlemlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan bilgi sorumlusu hakkında kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin TL, ilgili şahıslara gerekli bildirimlerin yapıldığı ve kelam konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır.

Kurumumuza bildirimin geç yapılması sebebiyle bilgi ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik müddet içerisinde bildirim şartının sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik müddet içerisinde) bildirimde bulunma yükümlülüğüne alışılmamış hareket etmesi nedeniyle data sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”

Bunları da beğenebilirsiniz