Top

Korsanları durduramayan Veri Sorumlularına Para Cezası

Korsanları durduramayan Veri Sorumlularına Para Cezası

2019 yılının başlarında bilişim dünyası -bu aralar sıklıkla tekrarlandığı gibi- bir kez daha büyük bir veri korsanlığı haberi ile sarsıldı. Her biri on milyonlarca üyeye sahip 16 farklı internet sitesinin üye kayıtları ele geçirilmiş ve karanlık ağda (darkweb) satışa çıkarılmıştı. Verileri çalan korsan, 11 Şubat 2019’da 20.000 Dolar değerinde Bitcoin karşılığında bu verileri isteyen herkesle paylaşabileceğini ilan etti. Verileri ele geçirilen internet siteleri ve ele geçirilen kullanıcı hesaplarının sayıları şu şekildeydi.

  • Dubsmash 162 milyon
  • Myfitnesspal 151 milyon
  • MyHeritage 92 milyon
  • ShareThis 41 milyon
  • HauteLook 28 milyon
  • Animoto 25 milyon
  • EyeEm 22 milyon
  • 8fit 20 milyon
  • WhitePages 18 milyon
  • Fotolog 16 milyon
  • 500px 15 milyon
  • Armer Games 11 milyon
  • Bookmate 8 milyon
  • CoffeeMeetsBagel 6 milyon
  • Artsy 1 milyon
  • DataCamp 7 yüzbin

Korsan’ın elindeki verilerin değerini ispatlamak için reklam amacıyla paylaştığı ekran görüntülerinden anlaşıldığı kadarıyla ele geçirilen veriler genellikle üyelik hesabı sahibinin ismi, eposta adresi ve şifrelerini içeriyor. Ayrıca internet sitelerinin niteliğine göre konum, kişisel detaylar, sosyal medya bağlantı fişleri gibi verilerin de bulunduğu görüldü.

Bu olayda yasa dışı olarak ele geçirilen toplam kullanıcı hesabı sayısı 617 milyon. Bir kişinin bu web sitelerinin birden fazlasında hesap sahibi olabileceğini düşünsek bile, kişisel verileri kendisinden habersiz ele geçirilip, kara borsada haraç mezat satılan kişi sayısının yüz milyonlarca olduğunu rahatlıkla söyleyebiliriz.

Daha geçenlerde paylaştığımız haberlerde de gördüğümüz gibi milyonlarca verinin ele geçirildiği bu tür saldırılarla birlikte, yine bir kaç hafta önce paylaştığımız BioStar 2 olayının gösterdiği üzere veri koruma ve veri güvenliğinin ne kadar hafife alınabildiğini de hesaba katınca Avrupa Birliği’nin çok sert Genel Veri Koruma Regülasyonu (GDPR) ve bizim Kişisel Verilerin Korunması (KVK) yasamızla oluşturulan hukuki rejimlerin neden gerekli olduğu net bir şekilde görülebiliyor.

İnternet hizmetlerinin sınır tanımayan yapısı sayesinde şirketler artık dünyanın her bölgesinden insanlara anlık hizmetler sunabiliyorlar. Dolayısıyla bu olayda kişisel verileri ele geçirilen yüz milyonlarca kişi arasında Türkiye Cumhuriyeti vatandaşlarının -bu yazıyı okuyanlar da dahil- olacağını beklemek doğal bir çıkarım olacaktır.

Nitekim Kişisel Verileri Koruma Kurumu’nun 17.07.2019 tarih ve 2019/222 sayılı kararından bunun böyle olduğunu öğreniyoruz. Kararda 679 bin 269 Türk vatandaşının da verilerinin ele geçirildiğini öğrenmiş bulunuyoruz.

KVKK kararından anlıyoruz ki yukarıda sayılan kuruluşlardan Dubsmash Türk üyeleri için olay yaşandıktan sonra temasa geçmiş ve ihlal bildiriminde bulunmuşlar.

Kuruluşların kişisel verilerin güvenliğini neden birinci önceliği yapması gerektiği ve neden kişisel veri güvenliği konusunu kuruluşun çalışma pratiğinin, kurallarının, iş stratejilerinin ve süreçlerinin bir parçası yapması gerektiği konusunda önemli bir öncelikle karşı karşıyayız.

Bu olaydan yola çıkarak kişisel veri korunması yönetimine ilişkin üç temel noktaya değinelim:

  • Kişisel verilerin korunması için gerekli teknik ve idari tedbirleri alma
  • Veri ilgilisinin başvuru hakkını kullanmasını sağlayacak kurumsal bir başvuru mekanizmasının kurulması
  • Veri ihlali yaşandığında ilgili gerçek kişilere ve veri koruma otoritesine (Türkiye’de KVKK) en hızlı şekilde bildirimde bulunma

1) Başvuru Hakkı 

İlk olarak şunu söyleyelim ki gerçek kişilerin, kuruluşunuzun elindeki kişisel verilerine ilişkin tam bir söz hakkı vardır. Elimizdeki olaydan yola çıkarak internet habercileri tarafından ortaya çıkarılan bu veri ihlalini duyan ve kendi verisinin de ihlal edildiği düşüncesindeki müşteri / üyeler ilgili kuruma başvurarak olay hakkında daha fazla bilgi talep edebilir, yaşanan ihlal hakkında ne gibi önlemlerin alındığını/alınacağını öğrenmek isteyebilirler. KVK 13. maddede tanınan bu hak aynı zamanda gerçek kişilerin kuruluşunuzu KVKK’ya şikayet etmeden önce mutlaka tamamlamaları gereken bir basamaktır. Bununla birlikte eğer kişinin başvurusunu reddeder veya 30 gün içinde cevap vermez iseniz veya cevap verseniz bile kişi verdiğiniz cevabı eksik veya yetersiz bulursa kuruluşunuzu KVKK’ya şikayet edebilecektir.

Bu durumları şimdiden hesaplayarak kurumunuzda etkili ve çalışan bir veri koruma başvuru sistemi kurmanız, rol ve sorumlulukları baştan belirlemeniz yararınıza olacaktır.  Veri korumanın anayasası sayabileceğimiz Avrupa Birliği GDPR rejiminde de başvuru hakkı temel konulardan birisidir. Veri ilgilisinin haklarını topluca saymak gerekirse;

  • Bilgilendirilme hakkı
  • Erişim hakkı
  • Düzeltme hakkı
  • Silinme hakkı
  • Veri işlemeyi kısıtlama hakkı
  • Veriyi aktarabilme hakkı
  • Veri işlemeye itiraz hakkı
  • Otomatik karar alma ve profil çıkarmaya ilişkin hakları bulunduğunu bilmeniz gerekmektedir.

2) Bildirim Yükümlülüğü

Veri Sorumlusu bir kuruluş -veya gerçek kişi- olarak bir başka yükümlülüğünüz, veri tabanınıza karşı bir saldırı veya bir müdahale sonucu bir ihlal gerçekleştiğinde bu durumu veri koruma otoritesine (KVKK) ve verileri ihlal edilen tüm gerçek kişilere “en kısa sürede” bildirmeniz gerekmektedir. KVK m. 12/5’te tanımlanan bu zorunluluk aynı zamanda GDPR 33. maddede düzenlenmiştir.

Burada “en kısa süre”nin ne olduğu uygulamada çözülmesi gereken bir problem olarak karşımıza çıkmaktadır. Sonuçta zamanında bildirimde bulunmamak kanunda ayrıca cezalandırılan bir eylem olarak tanımlanmıştır. GDPR bu konuda daha nettir ve kuruluşları ihlali öğrendikleri andan itibaren en geç 72 saat içinde bildirimde bulunmakla yükümlü kılar. Her ne kadar bizim yasamız bu konuda net bir süre vermiyor olsa da Avrupa uygulamasından yola çıkarak ve KVKK’nın bugüne kadar ki kararlarından da ilham alarak bu sürenin haftalar ve aylar değil günler içinde olması gerektiğini söyleyebiliriz.

Nitekim incelediğimiz olayda Dubsmash isimli firmanın yaşanan güvenlik ihlalini -Türk üye ve müşterileri olduğunu dikkate alarak- 27 Şubat 2019’da KVKK’ya bildirimde bulunduğunu anlıyoruz. KVKK kararı olayın 8 Şubat 2019’da internet sitelerinde duyulduğunu belirtiyor ve arada geçen yaklaşık 20 günlük sürenin “en kısa süre” tanımına girmediğine kanaat getirmiş. Buna dayalı olarak sadece zamanında bildirim yapmamaktan dolayı 50 bin TL idari para cezasına hükmedildiği görülüyor.

Ayrıca Kurul, Cathay Pasific Kararında yine “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık nedeniyle Şirket hakkında 100.000 TL, Marriott – Starwood kararında ise aynı nedenden 350.000 TL idari para cezası öngörmüştür. 

Tüm bunları değerlendirdiğimizde veri güvenliği ihlallerinde Avrupa’nın belirttiği 3 günlük sürenin dikkate alınmasının doğru ve temkinli bir uygulama olacağını söyleyebiliriz.

3) Gerekli tedbirleri almamak

Veri sorumlusunun en önemli yükümlülüklerinden birisi de tuttuğu kişisel verilerin güvenliğini garanti altına almak ve bunu sağlayacak gerekli bütün idari ve teknik tedbirleri almaktır. Olayımızda yüz milyonlarca kişinin kişisel verisi, tecrübeli oldukları anlaşılan korsanlar tarafından ve muhtemelen iyi korunan internet siteleri kırılarak çalınmıştır. Şunu söyleyelim ki, gerek Avrupa’da ve gerekse ülkemizde, veri koruma otoriteleri veri ihlalinin yaşanmış olmasını bile yani olayın gerçekleşmesini bile yeterli teknik önlemlerin alınmadığı konusunda yeterli karine olarak görmektedirler.

Bir başka ifade ile en üst düzey güvenlik önlemlerini almış olsanız da verilerinizi kötü niyetli kişilere kaptırdığınız anda bir ceza ile karşılaşmaya hazır olmanız gerektiğini söyleyebiliriz. Tabi aldığınız güvenlik önlemlerinin seviyesi, böyle durumlarda karşılaşacağınız cezanın ağırlığının takdirinde mutlaka dikkate alınacaktır.

Açıkça anlaşılan şudur ki veri koruma artık kuruluşlar için bir yönetim problemidir ve risk yönetiminizle doğrudan ilgilidir. Bu sebeple veri sistemlerinizi teknik koruma altına almak için yeterli çabayı göstermenizin yanı sıra düzenli kontroller, görev ve sorumlulukların belirlenmesi, iş tanımlarının yapılması, ilgili iş süreçlerinin oluşturulması, risk analizlerinin yapılması, iş bölümünün tanımlanması gibi pek çok idari sistem oluşturarak idari tedbirlerinizi de teknik önlemlerle kol kola hazırlamanız önemlidir.

KVKK 2019/222 sayılı kararında Dubsmash’in yeterli teknik ve idari tedbirleri almadığına da kanaat getirerek KVK 18/1b gereğince zamanında bildirimde bulunmama için kestiği 50 bin TL’lik cezaya ek olarak ayrıca 680 bin TL’lik bir idari para cezası daha kesmiştir.

Sonuç olarak görüldüğü üzere veri koruma hafife alınacak, bir kaç kopyala/yapıştır metinle ve uyarı kutusu ile çözülebilecek bir konu ve üstlenilebilecek bir risk değildir.

Bu sebeple kuruluşlar yüzbinlerce ve hatta bazı durumlarda milyonlarca TL’lik bu riskleri yönetebilmek için konuya yönetsel, hukuki ve teknik boyutlara aynı anda bakabilecek uzmanlarla çalışarak, veri korumayı kurumsallıklarının yasaya uygun ve sürekli bir parçası haline getiren dönüşümü gerçekleştirebilirler.

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın