| Okuma Süresi: 2 Dakika

S ŞANS OYUNLARI A.Ş. HAKKINDA TEKNİK VE İDARİ TEDBİRLERİN ALINMAMIŞ OLMASI VE BİLDİRİM YÜKÜMLÜLÜĞÜNE UYULMAMASI NEDENİYLE VERİLEN İDARİ PARA CEZASINA İLİŞKİN İLGİLİ KARARI

AV. BURAK EMRE ÇETİN

Özet: Şirket (veri sorumlusu) bünyesinde bulunan ve kullanıcıların ad-soyadları ile telefon numaralarını içeren bir Excel listesinin illegal sitelerde dolaştığı bilgisiyle veri ihlalinin gerçekleştiği, veri sorumlusu tarafından öğrenilmiştir. Olaya ilişkin değerlendirmede bulunan Kurul, teknik ve idari tedbirlerin alınmamış olması nedeniyle 150.000 TL, ilgili kişilere bildirim yapılmamış olması sebebiyle 30.000 TL idari para cezası verilmesine hükmedilmiştir.

Karar verilirken Kurul tarafından dikkate alınan hususlar aşağıdaki gibidir:
– İhlalin gerçekleşme tarihi belirlenemediğinden veri sorumlusunun gözetim, denetim ve kontrol yükümlülüklerini yerine getirmemiş olması,
– İhlale konu Excel listesindeki verilerin sistemden ne zaman alındığının ve veri işleyene ne zaman aktarıldığının belirlenememesinin teknik ve idari bir kusur olması,
– Listedeki ilgili kişilerin aktif üyelik durumlarını tespit edebilen veri sorumlusunun, ihlalden etkilenen üye sayısını tespit edememesinin teknik ve idari tedbirlerin eksikliğini göstermesi,

– İhlalden etkilenen ilgili kişilere bildirim yapılamamasının teknik ve idari tedbirlerin eksikliğini göstermesi.

Karar: S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren yazılarda özetle;

– S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,
– Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları,
– Veri ihlalinin gerçekleşme tarihinin bilinmediği,
– İhlalden etkilenen kişi sayısının belirlenemediği,
– İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,
– İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,
– Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiği
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Kararı ile;
– İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
– İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
– Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
– Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,

 

Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Karar Tarihi : 27/08/2019

Karar No: 2019/254

Karar Linki: https://www.kvkk.gov.tr/Icerik/5535/2019-254