Karar Tarihi: 27/08/2019
Karar No: 2019/254
Konu Özeti: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar
S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren yazılarda özetle;
- S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,
- Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları,
- Veri ihlalinin gerçekleşme tarihinin bilinmediği,
- İhlalden etkilenen kişi sayısının belirlenemediği,
- İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,
- İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,
- Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiği
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Kararı ile;
- İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
- İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
- Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
- Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Ankara KVKK Avukat, Ankara KVKK Danışmanlık, KVKK Hukuk Bürosu