Aynı İsim Hatası ve Çalışan İhlalleri: Veri Güvenliğinde İdari ve Teknik Zafiyetler
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihinde yayımlanan karar özetiyle, veri sorumlularının hem sistemsel kurgularından hem de çalışanlarının yetkisiz işlemlerinden kaynaklanan iki önemli ihlal tipini karara bağlamıştır. Bu kararlar, veri güvenliğinin sadece dış saldırılara karşı değil, iç süreçlerdeki dikkatsizlik ve suiistimallere karşı da korunması gerektiğini hatırlatmaktadır.
1. Aynı İsimli Müşteriye Yanlış Belge Gönderimi
Olay: Veri sorumlusu, bir müşterisine (ilgili kişi) ait kişisel verileri içeren hassas bir belgeyi, sadece isim benzerliği nedeniyle tamamen farklı bir üçüncü kişiye göndermiştir.
Hukuki Değerlendirme:
- Sistemsel Açık: Kurul, bu durumu basit bir “insan hatası” olarak değil, veri sorumlusunun sistemindeki bir güvenlik açığı olarak değerlendirmiştir. Gönderim aşamasında müşteri ayırıcılarının (müşteri no, T.C. kimlik no vb.) doğrulanmadığı saptanmıştır.
- Teknik ve İdari Tedbir (Md. 12/1): Verilerin yanlış kişiye ulaşmasını engelleyecek kontrol mekanizmalarının kurulmaması, Kanun’un 12. maddesinde belirtilen “uygun güvenlik düzeyini temin etmeye yönelik tedbirlerin” alınmadığını göstermektedir.
2. Çalışanın Keyfi Sorgulama Yapması (Merak/Kişisel Amaç)
Olay: Veri sorumlusu bünyesinde çalışan bir personel, herhangi bir iş gereği veya müşteri talebi olmamasına rağmen, kendisine tanınan sistem yetkilerini kullanarak bir müşterinin kişisel verilerini kişisel amaçları doğrultusunda sorgulamıştır.
Hukuki Değerlendirme:
- Yetki Matrisi ve Denetim: Personelin iş tanımı dışında kalan verilere erişebilmesi veya yaptığı sorgulamaların sistem tarafından engellenmemesi/denetlenmemesi idari bir zafiyettir.
- Sorumluluk: Kurul, çalışanın bu usulsüz eyleminden dolayı veri sorumlusunu sorumlu tutmuştur. Zira veri sorumlusu, çalışanının verilere erişimini sınırlandırmak ve bu erişimleri log (işlem) kayıtları üzerinden takip etmekle yükümlüdür.
3. Karar Sonucu: İdari Yaptırımlar
Kurul, her iki vakada da veri güvenliği yükümlülüklerini (Md. 12) yerine getirmeyen veri sorumluları hakkında KVKK Madde 18 uyarınca idari para cezası ve idari işlem tesis edilmesine karar vermiştir.
4. Özgür Eralp Perspektifi: “Yetki Verip Denetlememek İhlale Davetiyedir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, en büyük sızıntıların hackerlardan değil, “yetkili ama denetimsiz” çalışanlardan veya “kopyala-yapıştır” hızındaki operasyonel hatalardan kaynaklandığını gördük. Bir banka çalışanının eski sevgilisinin hesap hareketlerine bakması veya bir kargo çalışanının ünlü bir ismin adresini sorgulaması, teknolojiyle değil, tamamen idari tedbir ve etik eğitimle çözülecek bir sorundur.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, çalışanlarına “her şeyi görme yetkisi” vermemelidir. “Bilmesi gereken kadar” (Need-to-know) prensibi uygulanmalı ve yapılan her sorgulama arkada bir iz bırakmalıdır. Ayrıca, sadece isimle belge gönderen sistemler, orta vadede büyük tazminat davalarına gebedir. Ayırıcı bir kimlik doğrulaması olmayan hiçbir otomasyon güvenli sayılamaz.
Sıkça Sorulan Sorular
1. İsmim aynı diye başkasının faturası bana gelirse ne yapmalıyım?
Bu bir veri ihlalidir. Durumu hemen gönderen şirkete bildirmeli ve verinin imha edilmesini sağlamalısınız. Ayrıca kişisel verilerinizin başkasına gitmiş olma ihtimaline karşı Kurul’a şikayette bulunma hakkınız vardır.
2. Bir şirket çalışanı sebepsiz yere bilgilerime bakarsa şirket mi sorumlu olur?
Evet. KVKK uyarınca çalışanının fiillerinden veri sorumlusu olan şirket sorumludur. Şirket, çalışanını eğitmek ve sistemini yetkisiz sorgulamalara kapatmak zorundadır.
3. “Log kaydı” (işlem kaydı) tutulması neden zorunlu?
Çünkü bir veri ihlali yaşandığında, bu ihlalin kim tarafından, ne zaman ve hangi yetkiyle yapıldığını tespit etmenin tek yolu budur. Log tutmayan bir şirket, veri güvenliği yükümlülüğünü doğrudan ihlal etmiş sayılır.
4. Sadece isim benzerliği nedeniyle yapılan yanlışlıklar affedilir mi?
Hayır. Hukukta bu durum “denetim eksikliği” olarak görülür. Müşteri bazlı işlemlerde sadece isim değil, doğum tarihi veya müşteri numarası gibi eşsiz tanımlayıcılar kullanılmalıdır.
5. Çalışanların sistem yetkileri nasıl kısıtlanmalı?
“Yetki Matrisi” oluşturulmalıdır. Bir çağrı merkezi çalışanı sadece o an hatta olan müşterinin verisini görebilmeli, tüm veritabanını sorgulama yetkisine sahip olmamalıdır.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Etiketler
KVKK, Veri Güvenliği, İdari Tedbirler, Teknik Tedbirler, İdari Para Cezası, Yetkisiz Erişim, Log Kayıtları, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Çalışan İhlalleri, İsim Benzerliği Hatası, Kişisel Veri Sorgulama
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),