Algoritma Hatası Sebebiyle Veri İhlali
Kişisel Verileri Koruma Kurulu’nun 24.08.2023 tarih ve 2023/1465 K. sayılı kararı: ‘’Kuruma intikal ettirilen ihbar dilekçesinde özetle; ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği, konu ile ilgili çağrı merkezine bildirimde bulunduğu, akabinde sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
Savunma dilekçesinde, ihbarda bulunan ilgili kişiye ait kişisel verilerin ihlalden etkilenmediği savunması yapılmışsa da Kanunun 15’inci maddesinin birinci fıkrası kapsamında ihlal iddiasının öğrenilmesi durumunda re’sen görev alanına giren konularda incelemenin Kurul tarafından yapılacağı düzenlendiğinden ilgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda veri sorumlusunun bilgilendirilmesine,
İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesi Kanunun 12’nci maddesinin beşinci fıkrası kapsamında veri ihlal bildirimini gerektirmekte olup veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına karar verilmiştir.’’
Özet
1)Kişisel veri sahibi, araç kiralama şirketinin internet sitesine kayıtlı bilgileri ile giriş yapmasının akabinde site tarafından üçüncü bir kişinin hesabına yönlendirilmesi sebebiyle KVKK’ya başvuru yapmıştır.
2)Kendi hesabına giriş yapmaya çalışan kişi, üçüncü kişinin hesabına yönlendirilmesiyle, yönlendirilen hesaptaki kişinin sisteme kayıtlı olan kişisel verilerinin tamamına erişmiştir. Bu durum neticesinde veri sorumlusuna idari para cezası uygulanmıştır.
3)Veri sorumlusu her ne kadar, ihbarda bulunan kişinin ve hesabına erişim sağlanan üçüncü kişinin, kişisel veri ihlalinden etkilenmediği yönünde savunma yapmış olsa da kişisel verilerin ihlali halinde ceza verilmesi için herhangi bir ihlalden etkilenme şartı bulunmadığı yönünde karara hükmedilmiştir.
