top of page
Ara
  • sonerkenaroglu

Algoritma hatası nedeniyle kişisel verilerin ihlaline dayalı olarak düzenlenen idari para cezası hakkında.



BİR İNTERNET SİTESİNE GİRİŞ SIRASINDA KULLANICI YERİNE, ÜÇÜNCÜ BİR KİŞİYE AİT KİŞİSEL VERİLERİN GÖRÜNTÜLENMESİ SURETİYLE MEYDANA GELEN İHLAL HAKKINDA VERİLEN KARAR ÖZETİ

 

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.08.2023 tarihli ve 2023/1465 sayılı karar (“Karar”) özetine konu olayda başvurucu:

 

  • Bir araç kiralama şirketine ait internet sitesine, sisteme kayıtlı olan kullanıcı adı ve e-postası ile giriş yaptığı sırada başka bir kişinin hesabına yönlendirildiğini,

  • Hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiğini,

  • Konu ile ilgili olarak çağrı merkezine bildirimde bulunduğunu,

  • Akabinde, sistemdeki bilgilerin düzeltildiğini ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediğini iddia etmiştir.


Veri sorumlusu şirket tarafından yapılan savunmada özetle:

 

  • Kişisel verilerin güvenliğini sağlamak amacıyla Kanun ve ilgili diğer mevzuat uyarınca gerekli her türlü teknik ve idari tedbirlerin alındığı,

  • Algoritma hatası neticesinde kullanıcı bilgilerinin değiştirilmiş olduğunu ve başvurucunun bu şekilde üçüncü kişinin kişisel verilerine eriştiği,

  • Şirket tarafından rezervasyon alındığı sırada, rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta adresi bilgisi girildiği, hatalı bilgi girilmesinin müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksattığı ifade edilmiştir.


Kurul tarafından yapılan inceleme neticesinde:

 

  • Kanun'un 3’üncü maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği,

  • Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği değerlendirilerek,

  • Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000-TL idari para cezası uygulanmasına


karar verilmiştir. 04.01.2024

 

Saygılarımızla,

Kenaroğlu|Legal

7 görüntüleme0 yorum
bottom of page