Bir turizm şirketine ait networkten çok sayıda müşterinin başta kredi kart bilgileri olmak üzere tüm kimlik bilgileri çalındı. KVKK, 500 bin lira ceza kestiği şirketin ismini açıklamadı.
Çalışan bilgisayarı üzerinden girilmiş
KVKK internet sitesinden yaptığı bilgilendirmeye göre turizm şirketinin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldı. Söz konusu olay şirketin genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde oldu.
Hangi bilgiler sızdı?
KVKK'a göre etkilenen kişisel veriler şöyle:
Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri
Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi(DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No(DB-Veri tabanı seviyesinde şifreli), cinsiyet
İki aykırılıktan 500 bin lira ceza
KVKK, turizm şirketine Kişisel Verilerin Korunması Kanunun'daki iki maddeye aykırılıktan toplam 500 bin lira ceza verdi. KVKK'nın tespit ettiği aykırılıklar şöyle: Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kişisel Verileri Koruma Kanunu'nun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,
Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına
karar verilmiştir."
Yorumlar
Adnan Yekta
13 Ekim 2019, Pazar 11:40
+ Yorum Yaz