vip
Mustafa Dündar

Müşteri bilgilerini sızdıran bankaya şok ceza

Ekonomi 22.07.2021 - 09:26, Güncelleme: 22.07.2021 - 09:26 2824+ kez okundu.
 

Müşteri bilgilerini sızdıran bankaya şok ceza

Bir banka çalışanı, 346 müşteriye ait hesap bilgilerini arkadaşının çalıştığı yatırım firmasına iletti. Durumun ortaya çıkmasıyla ayaklanan müşteriler Kişisel Verileri Koruma Kurulu’nun (KVKK) kapısını çaldı. Kurul, bankaya 275 bin TL ceza kesti.

Adalet Bakanlığı bünyesinde hizmet veren KVKK, kişisel verileri amacı dışında kullananlara ceza yağdırıyor. Bir bankanın çalışanı, 346 müşteriye ait kişisel bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Veri Sızıntısı ekibi veri ihlal bildirimini KVKK'ya aktardı. Yürütülen soruşturmada; çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği tespit edildi. Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı. Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi.   Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği tespit edildi. İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu belirlendi.   Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi. Kurul kararında şu ifadelere yer verildi: “'Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır' ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı anlaşılmaktadır.   Veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin TL, ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza bildirimin geç yapılması sebebiyle veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”
Bir banka çalışanı, 346 müşteriye ait hesap bilgilerini arkadaşının çalıştığı yatırım firmasına iletti. Durumun ortaya çıkmasıyla ayaklanan müşteriler Kişisel Verileri Koruma Kurulu’nun (KVKK) kapısını çaldı. Kurul, bankaya 275 bin TL ceza kesti.

Adalet Bakanlığı bünyesinde hizmet veren KVKK, kişisel verileri amacı dışında kullananlara ceza yağdırıyor. Bir bankanın çalışanı, 346 müşteriye ait kişisel bilgileri yatırım firmasında çalışan arkadaşına iletti. Bankanın Veri Sızıntısı ekibi veri ihlal bildirimini KVKK'ya aktardı. Yürütülen soruşturmada; çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği tespit edildi. Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu ortaya çıktı. Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtildi.

 

Yapılan incelemede; ihlalden 346 banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu numarası ve bu müşterilerin bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği tespit edildi. İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu belirlendi.

 

Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesine dikkat çekildi. Kurul kararında şu ifadelere yer verildi: “'Gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır' ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı anlaşılmaktadır.

 

Veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu dikkate alındığında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18(1)(b) bendi kapsamında 225 bin TL, ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği ortadadır. Kurumumuza bildirimin geç yapılması sebebiyle veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı dikkate alındığında, (Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 (1)(b) bendi uyarınca 50 bin TL olmak üzere toplam 275 bin TL idari para cezası uygulanmasına karar verilmiştir.”

Habere ifade bırak !
Habere ait etiket tanımlanmamış.
Okuyucu Yorumları (0)

Yorumunuz başarıyla alındı, inceleme ardından en kısa sürede yayına alınacaktır.

Yorum yazarak Topluluk Kuralları’nı kabul etmiş bulunuyor ve ekosektor.com sitesine yaptığınız yorumunuzla ilgili doğrudan veya dolaylı tüm sorumluluğu tek başınıza üstleniyorsunuz. Yazılan tüm yorumlardan site yönetimi hiçbir şekilde sorumlu tutulamaz.
Sitemizden en iyi şekilde faydalanabilmeniz için çerezler kullanılmaktadır, sitemizi kullanarak çerezleri kabul etmiş saylırsınız.
mecidiyeköy yeni bayanlar şişli yeni bayanlar bakırköy yeni bayanlar halkalı yeni bayanlar avcılar yeni bayanlar şirinevler yeni bayanlar bahçeşehir yeni bayanlar taksim yeni bayanlar beşiktaş yeni bayanlar kartal yeni bayanlar kadıköy yeni bayanlar ümraniye yeni bayanlar anadolu yakası yeni bayanlar maltepe yeni bayanlar beylikdüzü yeni bayanlar pendik yeni bayanlar avrupa yakası yeni bayanlar kocaeli yeni bayanlar antalya yeni bayanlar ataköy yeni bayanlar eskişehir yeni bayanlar fethiye yeni bayanlar sakarya yeni bayanlar muğla yeni bayanlar malatya yeni bayanlar denizli yeni bayanlar konya yeni bayanlar kayseri yeni bayanlar ankara yeni bayanlar bursa yeni bayanlar izmir yeni bayanlar