| Okuma Süresi: 2 Dakika
|

“BİR OYUN ŞİRKETİNİN VERİ İHLAL BİLDİRİMİ HAKKINDA” KİŞİSEL VERİLERİ KORUMA KURULUNUN 16.04.2020 TARİH VE 2020/286 SAYILI KARAR ÖZETİ

MGC LEGAL BİLİŞİM HUKUKU DEPARTMANI

Özet: Bir oyun şirketinin veri ihlal bildirimi üzerine Kurum tarafından başlatılan incelemede oyun kullanıcılarının bilgilerine hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği, Hackerların, oyuncu verilerine erişim sağladıklarının log kayıtlarından tespit edildiği, etkilenen kişisel verilerin, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu, bulut sistemi bulunan veritabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin yetersiz olmasından ve gerekli önlemlerin alınmamasından kaynaklandığı tespit edilerek Veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.00 TL idari para cezası uygulanmasına karar verilmiştir.

 

Karar: Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde; Oyun şirketinin oyuncu verilerine hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği, Hackerların, şirketin bulut sistemlerine, belirli olmayan kaynaklardan temin ettikleri kimlik bilgilerini kullanarak erişmiş olduğu, Hackerların, oyuncu verilerine erişim sağladıklarının log kayıtlarından tespit edildiği, bu yetkisiz erişimin tespit edilmesinden sonra sistemde oyuncu giriş bilgilerinin değiştirildiği,Türkiye’de ihlalden etkilenen kişi sayısının 39,995 olduğu, İhlalden etkilenen kişi kategorilerinin özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu, belirtilen verilerin tamamının olayın kapsamına her aşamada dahil olmadığı, Türkiye’de yerleşik kişilere e-posta yoluyla bildirimde bulunulduğu, ifadelerine yer verilmiştir. Bildirim üzerine, Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı ile;

Türkiye’de ihlalden etkilenen kişi sayısının 39.995 olduğu, ihlale uğrayan kişisel verilerin özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu, bulut sistemi bulunan veritabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin yetersiz olmasının ve gerekli önlemlerin alınmadığının göstergesi olduğu, Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu hususları dikkate alındığında, veri sorumlusu şirket hakkında:

• Veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almaması nedeniyle 1.000.000 TL,

• 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle 100.000 TL olmak üzere toplam 1.100.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

 

İnceleme Tarihi: 25/06/2020

Karar Tarihi: 16/04/2020

Karar No: 2020/286

 

Karar Linki: https://kvkk.gov.tr/Icerik/6752/2020-286