Kişisel Verileri Koruma Kurulnun 09/07/2020 tarih ve 2020/530 sayılı Kararına göre ismi açıklanmayan bir bankadan 23 kişinin verileri sızdırıldı. Veri sorumlusu Banka personelin veri sızdırdığını ise yaklaşık bir yıl sonra fark etti. Kurul, personel erişim yetkilerinin sınırlandırılmadığına ve Banka tarafından yapılan denetim ve gözetimlerle, personele verilen kişisel verilerin korunması eğitimlerinin yetersiz olduğu gerekçesiyle 200.000 Türk Lirası idari para cezası uygulanmasına karar verdi.
Veri İhlaline Bankanın Personeli Sebep Oldu
Bankanın denetim ekiplerinin aldıkları bir ihbar üzerine yaptığı inceleme sonucunda banka içinde bir personelin, 23 adet Banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (KBB) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasında Whatsapp uygulaması aracılığıyla bir tanıdığı (3. kişi) ile paylaştığını tespit etti.
Veri sorumlusu banka Kurum’a yaptığı bildirimde personelin bu paylaşımdan menfaat elde edip etmediği hakkında bir tespit yapılamadığını ifade etti.
Müşterilerin TC Kimlik ve Banka Numaraları Sızdırıldı
Veri sorumlusu tarafından Kuruma yapılan veri ihlali bildirimi ile kişisel verisi ihlal edilen tamamen müşterilerden oluştuğu bilgisi verildi. Müşteriler arasından 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soyadı bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin ihlalden etkilendiği, özel nitelikli kişisel verilerin etkilenmediği bildirildi.
Bununla birlikte Kurul kararında ihlale sebebiyet veren personelin yaklaşık 1 yıl boyunca toplam 1.052 kişi için 10.529 adet KKB sorgulaması gerçekleştirdiği göz önüne alarak, Kurumuma gönderilen ekran görüntülerinde yer alan 23 kişiden daha fazla kişinin etkilenmiş olabileceğini belirtmiştir.
Personele Kişisel Verilerin Korunması Eğitimi Verilmişti
Karara göre, Banka tarafından Personel’e veri sorumlusu banka tarafından Kişisel Verilerin Korunması Eğitimi verildiği beyan edildi. Ancak kararda Kurul tarafından,veri ihlaline bakıldığında Banka tarafından verilen eğitimin yeterli olmadığına vurguladı.
Karar Özet Metni : “Bir bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/530 sayılı Karar Özeti
