KVKK’dan Yetkisiz Erişim Hatası Yaşayan Araç Kiralama Şirketine 200.000 TL Ceza
Kişisel Verileri Koruma Kurulu (KVKK), bir araç kiralama şirketinin internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi üzerine 200.000 TL para cezası verdi.
KVKK ihbar dilekçesinde özetle, ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, #telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği ifade edilerek KVKK kapsamında gereğinin yapılması talep ediliyor.
Veri sorumlusu savunmasında özetle, ilgili kişinin kullanıcı girişi yaptığında açılan müşteri ekranında bir başka müşterinin kullanıcı bilgilerinin görüntülenmesinin sistemde yer alan kullanıcı bilgilerinin algoritma tarafından diğer kullanıcı bilgileri ile değiştirilmesi sonucu meydana geldiği, sorununun manuel bilgi girişi yapılırken hatalı e-posta adres bilgisi girilmesinden kaynaklandığı, hatalı bilgi girişinin müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksattığı, ilgili kişinin yanı sıra üç kişinin daha veri algoritmasında sorun yaşandığının tespit edildiği ve durumun düzeltildiği, ihbar sahibi ilgili kişiye ait verilerin bir başka kullanıcı tarafından görüntülenmediğinin tespit edildiği ifade ediliyor.
KVK Kurulu yaptığı incelemede, algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiğini ve KVKK kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığını belirtiliyor.
Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu vurgulanıyor.
Öte yandan savunma dilekçesinde ihbar sahibine ait kişisel verilerin algoritmadaki yanlışlıktan etkilenmediği savunmasının yapıldığı ancak ilgili kişi tarafından Kuruma iletilen dilekçenin ihbar niteliği taşıdığı ve Kurul tarafından konu hakkında re’sen inceleme başlatıldığı belirtiliyor.
Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı belirtilerek, veri güvenliği yükümlülüklerini yerine getirmeyen veri sorumlusuna 200.000 TL para cezası veriliyor.
KVKK para cezası kararı için ⬇️
https://kvkk.gov.tr/Icerik/7784/2023-1465