“Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 14/02/2019 tarihli ve 2019/23 sayılı Karar Özeti
Teknik servis hizmeti veren veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi neticesinde,
- Veri sorumlusundan alınan bilgide, ilgili internet adresi üzerinden kişilerin servise bıraktıkları cihazları ile ilgili olarak yapılan sorgulamada cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığının belirtilmesine rağmen yapılan incelemede söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin de sorgulamalar yapılabildiği, söz konusu sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak, anılan Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numarala fıkrasına aykırı olarak kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle, söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda, veri sorumlusu hakkında Kanunun 18 inci maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,
- Öte yandan, söz konusu aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca, söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına
karar verilmiştir.
Yorumumuz:
KVK Kurulunun verdiği bu karar kişisel veri güvenliği ile ilgili alınması gereken teknik ve idari tedbirlerden kastedilenin olaylara göre farklılık göstereceğini ortaya koymuştur. Bu olayda veri sorumlusu cep telefonu teknik servisidir. Tamir için telefonunu bırakan kişiler, telefonlarının tamir edilip edilmediğini verilen servis numarasını internet sayfasından girdiklerinde görebildikleri bir kişisel veri işleme sürecine dahil olmaktadırlar. Ancak servis tarafından verilen numaranın son iki hanesi değiştirildiğinde başka kişilere ait isim, soy isim, adres ve IMEI numarasına erişilebilmektedir. Bu bir veri güvenliği ihlalidir. İşte burada alınacak teknik tedbir, internet üzerinden ulaşılabilecek kişisel veri işlenen yazılımlarda doğrulamanın birden çok değişkene bağlanmasıdır. Örneğin; bu olayda kişiler cep telefonu ile ilgili tamir süreci takibine girerken servis numarası, servise zaten verilmiş olan cep numarası ve servise cep telefonunu bıraktığı tarihi girerek sorgulama yapabilselerdi, teknik tedbir alınmış olacaktı.
Ayrıca bu kararla KVK Kurulu ilk defa 6698 Sayılı Kanunun 15/7’sini uyguladığı bir kararı ilan etmiştir. Servis şirketinin sitesinde gerekli düzeltmeleri yapması için talimatlandırma yanında düzeltme yapılıncaya kadar sorgulama yapılan linkin erişimini durdurmuştur.