Bankada İçeriden Sızıntı: “Müşteri Olmayan” 7 Bin Kişinin Verisine İhlal (Karar: 2020/344)
Kişisel Verileri Koruma Kurulu (Kurul), 05/05/2020 tarihli bu kararıyla, bankacılık sektöründe personelin yetki suistimaline dayalı veri ihlallerine karşı çok sert bir duruş sergilemiştir. Karar, “personel hata yaptı, benim suçum ne?” diyen kurumlara; denetim, takip ve limitlendirme sorumluluğunu hatırlatmış ve rekor düzeyde bir yaptırım uygulamıştır.
1. Olayın Özeti: 3 Personel, 25 Bin Mağdur
Olay: Bir bankanın İç Kontrol birimi, 2 farklı şubede çalışan 3 personelin KKB (Kredi Kayıt Bürosu) sorgu ekranlarını şüpheli şekilde kullandığını fark etmiştir. Yapılan teftiş sonucunda; personelin şahsi telefonlarına gelen TCKN listelerini kullanarak sorgulama yaptıkları ve bu bilgileri banka dışına sızdırdıkları anlaşılmıştır.
İhlalin Çarpıcı Detayları:
- Etkilenen Toplam Kişi: 25.288 kişi.
- Müşteri Olmayanlar: İhlale uğrayanların 7.706’sı bankanın müşterisi bile değildir.
- Süreç: Bir şubede ihlal fiili 2017’de başlamış ancak tam 2 yıl sonra (2019) fark edilmiştir. Diğer şubede ise fark edilmesi 18 ay sürmüştür.
2. Kurulun Hukuki Değerlendirmesi: “2 Yıl Süren İhlal, Tedbirsizliktir”
Kurul, bankanın savunmasını ve sistem açıklarını şu kriterlerle analiz etmiştir:
A. Kişisel Veri Güvenliğinin Takibi (Teknik Tedbir)
Kurul’un yayınladığı rehberlere göre, erişim kayıtlarının (log) düzenli kontrol edilmesi esastır.
- Kusur: İhlalin 2 yıl boyunca fark edilememesi, bankanın güvenlik yazılımı mesajlarını ve raporlama araçlarını düzenli olarak kontrol etmediğinin en somut kanıtıdır.
B. Kullanıcı Yetki ve Rollerindeki Zafiyet
Personelin görev tanımı gereği bu ekrana yetkisi olsa da, bu yetkinin sınırsız bırakılması bir idari tedbir eksikliğidir.
- Hata: Bankanın ihlalden sonra getirdiği “KKB sorgulama limitlendirmesi” gibi kritik önlemleri ihlalden önce almamış olması, teknik tedbirlerin yetersizliğini gösterir.
C. Eğitim ve Farkındalık Eksikliği (İdari Tedbir)
Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının farkında olmaması, bankanın “Çalışanların Eğitilmesi” yükümlülüğünü (Md. 12) tam yerine getirmediğini göstermektedir.
3. Karar Sonucu: 1.000.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- İhlalin çok uzun süre (2 yıl) boyunca fark edilememesi,
- Banka müşterisi dahi olmayan binlerce kişinin mahrem finansal verilerine erişilmesi,
- Gerekli teknik ve idari tedbirlerin (limitlendirme, takip, eğitim) ihlalden önce alınmaması,Gerekçeleriyle, banka hakkında 1.000.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Yetki Vermek, Denetimden Vazgeçmek Değildir”
Bilişim ve finans hukuku alanındaki tecrübemizde, kurumların en büyük hatasının “yetkili personeline körü körüne güvenmek” olduğunu görüyoruz. Bu karar, bankacılık dünyasına şu mesajı veriyor: “Bir personele sorgu yetkisi vermiş olman, onun neyi, ne zaman ve ne kadar sorguladığını takip etme sorumluluğunu ortadan kaldırmaz.”
Bir yatırımcı avukat vizyonuyla uyarım şudur: Özellikle banka personeline dışarıdan TCKN listeleri gelmesi ve bunların sorgulanması, kurumsal bir güvenlik zafiyetinin ötesinde organize bir siber suç riskine işaret eder. 7 bin “müşteri olmayan” kişinin verisine ulaşıldığı bir senaryoda Kurul, kurumun “biz fark ettik, bildirdik” şeklindeki iyiniyetli savunmasını, geç kalındığı gerekçesiyle reddeder. Şirketler için asıl mesele ihlali bildirmek değil, ihlalin 2 yıl boyunca sürmesini engelleyecek otomatize alarm sistemlerini kurmaktır.
Sıkça Sorulan Sorular
1. Banka müşterisi olmadığım halde verilerim sızmış olabilir mi?
Evet. Bu kararda görüldüğü üzere, banka personeli KKB ekranı üzerinden banka müşterisi olmayan kişilerin de kredi risk raporlarına ulaşabilmektedir. Toplam sızıntının %30’u banka müşterisi olmayan kişilere aittir.
2. Bankanın “Personelim politikaya aykırı davrandı” demesi onu kurtarır mı?
Hayır. KVKK uyarınca personelin hatasından veri sorumlusu olan kurum (Banka) sorumludur. Kurum, personelin bu hatayı yapmasını engelleyecek teknik bariyerleri (Örn: Günlük sorgu limiti) kurmak zorundadır.
3. KKB (Findeks) sorgulamalarımın izinsiz yapıldığını nasıl anlarım?
Findeks üzerinden kendi raporunuzu alarak “Hangi kurumların sorgulama yaptığını” tarihleriyle birlikte görebilirsiniz. Tanımadığınız bir bankanın sorgusu varsa, bu bir veri ihlali işareti olabilir.
4. 1.000.000 TL ceza 2026’da ne kadar olur?
2020 yılındaki bu rekor meblağ, güncel yeniden değerleme oranları ve artan alt/üst limitlerle birlikte 2026 yılında on milyonlarca lirayı bulan devasa yaptırımlara karşılık gelmektedir.
5. Sorumlu personellere ne oldu?
Banka teftişi sonucunda bu personeller genellikle işten çıkarılır. Ayrıca Bankacılık Kanunu (Sırrın İfşası) ve Türk Ceza Kanunu (Verileri Hukuka Aykırı Ele Geçirme) kapsamında hapis cezası istemiyle yargılanırlar.
Kaynaklar
- KVKK Kurumu – 2020/344 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12, 18)
- 5411 Sayılı Bankacılık Kanunu (Müşteri Sırrı)
- KVKK Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Etiketler
KVKK, Banka Veri İhlali, KKB Sorgulama, Personel Suistimali, Finansal Veri Sızıntısı, İdari Para Cezası, 2020/344 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Güvenliği Takibi, Yetki Kontrolü, Müşteri Sırrı İhlali
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),