Giyim Firması Yaptığı Veri İhlali Sonucu 50.000 TL Para Cezasına Çarptırıldı
Perakende giyim firması; bazı müşterilerin yeni bir hesap açarken kişisel verilerini sehven bir URL üzerinden kendi iç sistemlerine ve çalıştıkları bazı üçüncü taraf satıcı/sağlayıcılara aktarmış, ve meydana gelen bu ihlal olağan bir denetim sonucunda tespit edilmiştir. Bu konuyla ilgili Kuruma veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik olarak silinmiş olduğuna dair teyit aldığı belirtilmiştir. Bu durum cezanın miktarını etkileyen önemli bir husustur.
İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da yanlışlıkla veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiği öğrenilmiştir. İhlalden etkilenen ilgili kişi sayısı 44’tür. Türkiye’de de 2 kişi etkilenmiştir. Etkilenen kişilerin kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşterilerdir. İhlali yapan şirket Kuruma yazdığı 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği ve ihlalden etkilenen kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı belirtilmiştir.
Perakende şirketinin tüm bu işlemleri Kurulca göz önünde bulundurulmuş ve KVKK’nın 18. Maddesinin 1. Fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.