Ekonomi Bilgiyi korumayan bankaya ceza

Bilgiyi korumayan bankaya ceza

Müşteri bilgilerini yatırım firmasına veren banka ceza yedi. Bir banka çalışanı, 346 müşteriye ait hesap bilgilerini arkadaşının çalıştığı yatırım firmasına iletti. Durumun ortaya çıkmasıyla ayaklanan müşteriler Kişisel Verileri Koruma Kurulu’nun (KVKK) kapısını çaldı. Kurul, bankaya 275 bin TL ceza kesti.

Haber Merkezi Yeni Şafak
​Bilgiyi korumayan bankaya ceza: Verileri çalışan sızdırdı ceza bankaya verildi
Arşiv

Adalet Bakanlığı bünyesinde hizmet veren Kişisel Verileri Koruma Kurulu’nun (KVKK), kişisel verileri amacı dışında kullananlara ceza yağdırıyor. Bir bankanın çalışanı, 346 müşteriye ait kişisel bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Veri Sızıntısı ekibi veri ihlal bildirimini KVKK’ya aktardı.

ARKADAŞINA GÖNDERİNCE OLAY PATLAK VERDİ

Yürütülen soruşturmada; çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği tespit edildi. Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı. Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi.

YASAK OLDUĞUNU BİLDİĞİ HALDE SUÇ İŞLEDİ

Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği tespit edildi. İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu belirlendi.

BANKA YETERLİ TEDBİRİ ALMADI

Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi. Kurul kararında şu ifadelere yer verildi: “‘Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır’ ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı anlaşılmaktadır.”

HEM İHLALDEN HEM GEÇ BİLDİRİMDEN

Veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak kanunun 18(1)(b) bendi kapsamında 225 bin TL, ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza bildirimin geç yapılması sebebiyle veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında kanunun 18 (1)(b) bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”

KVKK üçüncü kişilerin kişisel verilerini korumaya yönelik ilke kararı aldı
TEKNOLOJİ
KVKK üçüncü kişilerin kişisel verilerini korumaya yönelik ilke kararı aldı
Abone Ol Google News

6698 sayılı Kişisel Verilerin Korunması Kanunundaki amaçlar ile sınırlı ve mevzuata uygun şekilde çerezler kullanılmaktadır. Detaylı bilgi için çerez politikamızı inceleyebilirsiniz.