Kişisel Verileri Koruma Kurulu’nun Yeni Kararları Yayımlandı 05 Temmuz 2019

Kişisel Verileri Koruma Kurulu (“Kurul”) 25 Haziran 2019 tarihinde Mariott International Inc., Clickbus Seyahat Hizmetleri A.Ş. ve Cathay Pasific Airway Limited nezdinde yaşanan kişisel veri ihlallerine yönelik kararlarını internet sitesinde duyurmuştur.

Veri ihlallerine neden olaylar; şirketlerin bilgi havuzuna yetkisiz erişim yoluyla girilerek, şirket müşterilerinin kişisel verilerine ulaşılmasıdır. Bu şirketler yabancı şirketler olmasına rağmen ihlaller sonucunda Türkiye’de anılan şirketlerle ilişiği bulunan birçok Türk vatandaşının ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, kredi kartı numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri ve buna benzer birçok bilginin dahil olduğu kişisel verilerinin elde edildiği anlaşılmıştır. Şirketler, bu siber saldırılara en az 2 ay ve en fazla 4 yıl süre ile maruz kalmışlardır.
Kurul, şirketlere;

  • Sözü geçen bilgi sızıntılarının fark edilme sürelerini göz önünde bulundurduğunda bu durumun bir güvenlik açığı olduğu, öte yandan şirketlerin kendi denetim ve kontrollerini yapmadığı,
  • Şirketlerin bünyesinde bulunan diğer şirketlerin ağlarına da erişim sağlandığı ve hatta bazı durumlarda müşterilerin kişisel verilerinin değiştirildiği göz önünde bulundurulduğunda şirketlerin donanım ve yazılımların yapılandırılmalarının doğru şekilde yapılmadığı ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu gerekçeleriyle

Cathway Pasific Airway Limited hakkında toplam 550.000,00-TL, Mariott Intertnational Inc. hakkında toplam 1.450.000,00-TL ve Clickbus Seyahat Hizmetleri A.Ş. hakkında toplam 550.000,00-TL idari para cezası uygulanmasına karar vermiştir.

Diğer Haberler