Sanal Bayide Excel Sızıntısı: S Şans Oyunları (tuttur.com) Kararı (2019/254)
Kişisel Verileri Koruma Kurulu (Kurul), 27/08/2019 tarihli bu kararıyla, sanal şans oyunları platformu olan tuttur.com (S Şans Oyunları A.Ş.) nezdinde yaşanan veri ihlalini cezalandırmıştır. Karar, veri sorumlusunun ihlali kendi sistemleriyle değil de bir müşterisinin uyarısıyla öğrenmesinin ve ihlalin boyutunu tespit edememesinin yarattığı hukuki sonuçları vurgulamaktadır.
1. Olayın Özeti: İllegal Sitelerde Dolaşan Üye Listesi
Olay: 14 Eylül 2018 tarihinde bir üye, şirkete ulaşarak internetteki illegal platformlarda tuttur.com kullanıcılarına ait bilgilerin (telefon numarası ve şifre yenileme SMS içerikleri) bir Excel listesi halinde paylaşıldığı ihbarında bulunmuştur.
- Sızıntının İçeriği: Kullanıcıların ad-soyadları, cep telefonu numaraları ve 2015-2017 yılları arasında gönderilen şifre hatırlatma SMS’leri (üye numaraları dahil).
- Bilinmezlik: Şirket; ihlalin tam olarak ne zaman gerçekleştiğini, listenin sistemden nasıl çekildiğini ve kaç kişinin bu durumdan etkilendiğini tespit edemediğini beyan etmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Tespit Edememek Bir Kusurdur”
Kurul, şirketin “ihlali tespit edememe” ve “sayı belirleyememe” yönündeki savunmalarını hafifletici sebep değil, aksine birer güvenlik zafiyeti olarak değerlendirmiştir:
A. Denetim ve Gözetim Eksikliği
İhlalin ne zaman gerçekleştiğinin belirlenememesi, veri sorumlusunun sistemleri üzerinde gerekli log (kayıt) incelemelerini, gözetim ve denetim faaliyetlerini düzenli yapmadığını kanıtlamaktadır.
B. Veri İşleyen Sorumluluğu
Şirket, ihlalin kendisiyle çalışan SMS firması (veri işleyen) nezdinde gerçekleşmiş olabileceğini iddia etmiştir. Ancak Kurul, verinin bir alt yüklenicide (veri işleyen) sızmış olmasının, asıl veri sorumlusu olan şirketin “gerekli her türlü teknik ve idari tedbiri alma” yükümlülüğünü (Md. 12/1) ortadan kaldırmadığını hatırlatmıştır.
C. Bildirim Yükümlülüğünün İhmali
Şirketin ihlalden etkilenen üyelerine yönelik herhangi bir bilgilendirme faaliyeti yürütmemiş olması, idari tedbirlerin yetersizliğinin bir göstergesi olarak kabul edilmiştir. KVKK Madde 12/5 uyarınca, mağdurlara haber vermek yasal bir zorunluluktur.
3. Karar Sonucu: Toplam 180.000 TL İdari Para Cezası
Kurul inceleme neticesinde şu yaptırımları uygulamıştır:
- Veri Güvenliği Yükümlülüklerinin İhlali (Md. 12/1): İhlalin tespit edilememesi, denetim eksikliği ve teknik zafiyetler nedeniyle 150.000 TL,
- İlgili Kişilere Bildirim Yapılmaması (Md. 12/5): Mağdur üyelerin bilgilendirilmemesi nedeniyle 30.000 TL,olmak üzere toplam 180.000 TL (2019 yılı değerleri) idari para cezası uygulanmasına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Excel, Veri Güvenliğinin Kara Deliğidir”
Bilişim hukuku alanındaki tecrübemizde, sanal bayi veya e-ticaret sitelerinde verilerin “Excel” formatında dışarı sızması, genellikle içeriden bir yetkisiz erişime veya veri işleyen (SMS/Kargo firması) tarafındaki bir güvenlik açığına işaret eder. Kurul’un buradaki mesajı nettir: “İhlali müşterinden öğreniyorsan, evini koruyamıyorsun demektir.”
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, çalıştıkları veri işleyenleri (SMS entegrasyonu sağlayan firmalar vb.) sadece fiyat bazlı değil, siber güvenlik standartları bazlı seçmeli ve onları periyodik olarak denetlemelidir. Ayrıca, “Kaç kişinin etkilendiğini bilmiyoruz” demek hukuk karşısında bir savunma değildir; aksine sisteminizin ne kadar “izlenemez” olduğunu itiraf etmektir. Veri sızıntısını engellemek kadar, sızıntı anında kimin, neyi, ne zaman çaldığını raporlayabilmek de yasal bir zorunluluktur.
Sıkça Sorulan Sorular
1. tuttur.com üyesiyim, şifremi değiştirmeli miyim?
Karar 2015-2017 arası SMS verilerini kapsamaktadır. Ancak bu tür bir sızıntı geçmişte yaşandıysa ve şifrenizi o günden beri güncellemediyseniz, güvenlik adına hem şifrenizi hem de (varsa) ilişkili e-posta şifrelerinizi mutlaka değiştirmelisiniz.
2. SMS firmasının hatasından neden bahis şirketi ceza alıyor?
KVKK’ya göre siz verinizi kime emanet ettiyseniz “Veri Sorumlusu” odur. Veri sorumlusu, veriyi paylaştığı alt yüklenicilerin (veri işleyenlerin) güvenliğini de denetlemekle yükümlüdür.
3. “İhlalden etkilenen kişi sayısı belirlenemedi” ne demek?
Bu, şirketin sistemlerinde kimin hangi veriyi indirdiğine veya kopyaladığına dair yeterli “log” (iz kaydı) tutulmadığı veya bu kayıtların geçmişe dönük silindiği anlamına gelir.
4. 180.000 TL ceza yeterli mi?
2019 yılındaki ceza alt limitleri ve o günkü ekonomik koşullar çerçevesinde bu rakam belirlenmiştir. Bugün aynı ihlal gerçekleşse, ceza tutarları yeniden değerleme oranlarıyla milyonlarca lirayı bulabilmektedir.
5. Sızıntı nedeniyle dolandırılırsam ne yapabilirim?
Bu Kurul kararını delil göstererek, verilerinizin güvenliğini sağlayamayan şirkete karşı maddi ve manevi tazminat davası açma hakkınız bulunmaktadır.
Kaynaklar
- KVKK Kurumu – 2019/254 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
Etiketler
KVKK, tuttur.com, S Şans Oyunları, Veri İhlali, SMS Verileri Sızıntısı, Excel Listesi, İdari Para Cezası, 2019/254 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri İşleyen Sorumluluğu, Log Kayıtları, Şans Oyunları Güvenliği
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),