Son dönemde veri ihlali ve kurye protestoları ile gündeme gelen online yemek sipariş platformu Yemeksepeti.com‘a yaptırım uygulandı. Kişisel Verileri Koruma Kurulu (KVKK), kullanıcı verilerinin sızdırılması sebebiyle 1 milyon 900 bin lira para cezası verildi.
KVKK’nin internet sitesinde yer alan kararda, veri sorumlusu şirkete ait web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği ifade edildi. Sızdırılan bilgiler arasında kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri yer alıyor.
KVKK, Yemeksepeti’ne Yaptırım Uyguladı
Aralarında kamuoyunun yakından tanıdığı bazı isimler, Yemeksepeti’ne yönelik bir siber saldırı gerçekleştiği ve hacker’ların kendilerine ulaşarak kendilerine ait gizli verileri gönderdiklerini söylemişti. İddiaları reddeden şirket, söz konusu paylaşımları yapan kişileri mahkemeye vermişti. Fakat bugün gelinen noktada KVKK’nın Yemeksepeti’ne veri ihlali sebebiyle yaptırım uyguladığını öğreniyoruz.
İlgili kararda yer alan ifadeler şu şekilde:
“Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca sekiz gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır.
Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir”