VERİ İHLALLERİ Etik ve İtibar Derneği Av. Hande Kıstak TEİD Siemens San. ve Tic.A.Ş. *Bu sunumda yer alan yazılı ve sözlü görüş ve değerlendirmeler sunumu yapan kişi/kişilerin kişisel değerlendirmeleri olur TEID in görüşünü yansıtmamaktadır.
GÜNDEM Ø Veri İhlali Nedir? Ø Veri İhlalinin Çeşitleri? Ø Veri İhlalinin Sonuçları ve Yaptırımlar Ø Örnek Davalar Ø Önlemler
ØGDPR VERİ İHLALİ NEDİR? Madde 4 Tanımlar Kişisel Veri İhlali : İletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir.* *Avrupa Birliği Bakanlığı çevirisi VERİ İHLALİNİN ÇEŞİTLERİ ØGizlilik İhlali : Yetkisiz veya tesadüfi olarak bilginin yetkisiz kişiye açıklanması veya erişim sağlanması (kişisel verinin yanlış bir alıcıya gönderilmesi vb.) ØBütünlük İhlali : Kişisel verinin yetkisiz veya tesadüfi şekilde değiştirilmesi ve orijinal halinden farklılaşması. ØErişilebilirlik İhlali : Yetkisiz olarak veya tesadüfi olarak erişim kaybının olması veya verinin yok edilmiş olması (kişisel verinin tek bir kopyasının zararlı fidye yazılımı ile şifrelenmesi, verinin kalıcı bir şekilde kaybolması veya yok edilmesi vb)
ØKVKK VERİ İHLALİ NEDİR? MADDE 12/5 - Veri güvenliğine ilişkin yükümlülükler İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir... Örnekler: qhizmet sağlayıcısının bilgisayar sisteminde bulunan müşterilere ait kişisel verilere, güvenlik ihlalleri nedeniyle internet aracılığıyla üçüncü kişiler tarafından erişilmesi qveri sorumlusunun veya veri işleyenin müşterilerine ait kişisel verilerin bulunduğu USB anahtarı veya CD-ROM unun çalınması qözel nitelikli kişisel verilerin yer aldığı sabit diskin silinmeden internet üzerinden satılması
KVKK VERİ İHALLERİNİN SONUÇLARI q Kişilik hakları ihlal edilenlerin tazminat hakları saklıdır. q İdari para cezaları veri sorumlusu gerçek kişiler ve özel hukuk tüzel kişileri hakkında uygulanır.
GDPR VERİ İHLALLERİNİN SONUÇLARI ü İdari para cezaları veri sorumlusu ve veri işleyen hakkında uygulanır. ü Birden fazla veri sorumlusu ve veri işleyenin aynı işleme faaliyetinde bulunması halinde veri sahibinin tüm zararından sorumluluk esastır. ü Tazminat (Madde 82): Maddi ve manevi tazminat ü İdari Para Cezası (Madde 83): ü 10.000.000 Avro veya bir teşebbüs olması halinde bir önceki finansal yıla ait tüm dünya çapındaki cirosunun %2 si (Örn. Veri güvenliğinin sağlanamaması vb.) ü 20.000.000 Euro veya bir teşbbüs olması halinde bir önceki finansal yıla ait tüm dünya çapındaki cirosunun % 4 ü (Örn. Veri İhlalinin Bildirilmemesi vb.) (*hangi meblağ yüksek ise, o geçerlidir.)
ÖRNEK OLAYLAR ØEylül 2018 de, Biritish Airways in internet sitesine yapılan saldırılar neticesinde 380.000 kişinin finansal bilgileri çalındı. ØPortekiz Veri Koruma Otoritesi tarafından 27 Temmuz 2018 tarihinde, Portekiz'deki Barreiro Hastanesi'ne GDPR'a aykırı eylemleri sebebiyle 400.000 Euro para cezası verdi. ØEkim 2016 da İngiltere Bilgi Komisyonu Ofisi, TalkTalk Telecom Group PLC şirketine 400,000 para cezası verdi. Ø2018 yılında, yaklaşık 50 milyon Facebook kullanıcısının hesap bilgilerinin izinsiz şekilde Cambridge Analytica adlı data analiz şirketi tarafından kullanıldığı ortaya çıktı. İngiltere Bilgi Komisyonu Ofisi, Facebook a 500.000- ceza uyguladı. Kişisel Verileri Koruma Kurulu da bazı veri güvenliği ihlali iddiaları nedeni ile Facebook a inceleme başlattı. Facebook, $1.63 milyar dolar ceza ile karşı karşıya kalmıştır. Ø2014 yılına, 3 milyar Yahoo hesabı ele geçirildi. İngiltere Bilgi Komisyonu Ofisi tarafından 250.000 ceza kesildi.
Kişisel Verileri Koruma Kurumu Kararları ØSağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması; ØOnline olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorumlusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaşması; ØBir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesi; Örn: İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması; ØVeri sorumlusu tarafından müşterisinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesi;
Kişisel Verileri Koruma Kurumu Kararları ØVeri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması; ØVeri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, şirket adına sürecin yönetiminden sorumlu kişinin ev adresinin yazılması; ØMahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması nedeniyle 30.000-TL para cezası uygulandı.
KVKK VERİ İHLALİ DUYURULARI ØTicketmaster UK adına Biletix Bilet Dağıtım Basım ve Tic. A.Ş. (Biletix A.Ş.) tarafından 28.06.2018 tarihinde Kurum a bildirimde bulundu. Kötü amaçlı bir yazılım nedeniyle, bazı müşterilerin kişisel verilerine ve ödeme bilgilerine tanımlanmamış üçüncü kişiler tarafından izinsiz olarak erişilmiş olabileceği bildirildi. ØCareem Networks Teknoloji A.Ş. aracılığıyla yürüten Dubai merkezli Careem Inc. (Şirket) unvanlı şirket 18.04.2018 tarihinde bildirimde bulundu. Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018 tarihinde yetkisiz üçüncü kişilerce erişim sağlandığı; söz konusu yetkisiz erişimden Türkiye de mukim 103.337 müşteri ile 900 araç sürücüsünün etkilendiği; yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin isim, telefon numarası, kredi kartı bilgisi, e-posta adresi, kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası, araç modeli, plaka numarası, yolculuk özeti, uluslararası banka hesap numarası, T.C. kimlik numarası ve ehliyet numarası bilgilerinin olabileceği bildirildi.
ÖNLEMLER ŞİRKET PERSONELİ Farkındalık & Eğitim Veri Azaltma Sosyal Medya E-posta Kullanımı Şifreleme Erişim İzinlerinin Yönetimi Politikalara Uyum & Disiplin Süreci
Ø İŞ ORTAKLARIMIZLA BİLGİ PAYLAŞIMI Ø Gerçekten iş ortağı mı? Ø Bilgi talep etmeye yetkili mi? Ø Talep eden kişinin bu bilgiyi bilmesi gerekiyor mu? (Bilmesi Gereken İlkesi) Ø Talep edilen bilgi/belgelerin gizlilik sınıflandırması nedir? (Tasnif Dışı/ Firmaya Özel/ Gizli / Çok Gizli) Ø İmzalanmış bir gizlilik sözleşmesi mevcut mudur? Ø VERİ İŞLEYENLERLE İLİŞKİLER Ø Yazılı bir sözleşme olmalıdır. Ø Veri sorumlusunun talimatları ile hareket etmelidir. Ø Sözleşme amacı ve kapsamı ile sınırlı olma Ø Veri sorumlusunun politikaları uygulanmalı Ø En az Veri Sorumlusunun aldığı idari ve teknik tedbirler alınmalı Ø Kanuna uygunluk Ø Veri İşleyenin çalışanlarının gizlilik yükümlülüğü Ø Denetim ve inceleme hakkı
TEŞEKKÜRLER Av. Hande Kıstak