Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin 5 numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir” hükmü bulunuyor.

Bu doğrultuda veri sorumluları arasında yer alan bankalarla ilgili veri ihlal bildirimleri artıyor. Türkiye Bankalar Birliği (TBB) tarafından Risk Merkezi nezdinde bilgi güvenliğine yönelik bankalarda yapılan çalışmalarda veri ihlallerinin yaşandığı ortaya çıkıyor. Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun kararı ile söz konusu veri ihlallerinin kurumun internet sayfasında ilan edilmesine karar veriliyor.

Örnek vermek gerekirse;

Çok kısa bir süre önce bir banka çalışanının yapmış olduğu sorguların şüpheli olduğu tespit edildi ve bu işlemlerin olası bir veri sızıntısına yol açıp açmadığının belirlenmesi amacıyla ilgili banka nezdinde denetim ekiplerince soruşturma yapılması gerektiği tebliğ edildi.

Bu doğrultuda ilgili bankanın teftiş kurulu tarafından veri ihlaline sebep olan şahsa tahsis edilen banka cihazlarına el konularak, mevcut ve silinen e-postaları ile ilgili cihazlar üzerinden gerçekleştirdiği her tür işleme yönelik inceleme/soruşturma çalışması başlatıldı. Soruşturma safhasında veri ihlaline sebep olan şahsın şüpheli beyanları ve cihazlarında yapılan incelemeler kapsamında oluşan ön bulgularda 5411 sayılı Bankacılık Kanununun Müşteri Sırrı’nın ifşasına yönelik hükümleri çerçevesinde veri sızıntısı teşkil edebilecek unsurlar bulunduğuna yönelik kuvvetli emareler tespit edildi. Sonuç itibariyle;

- Veri sızıntısına neden olan şahsın ilgili bankanın uygulaması olan sistem üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak, TBB Risk Merkezi web sitesine banka kullanıcı olarak doğrudan erişim sağlayabildiği,

- Veri sızıntısına sebep olan şahsın birçok kez TBB Risk Merkezi sistemleri üzerinden usulsüz şekilde, çoğunluğu ilgili bankanın müşterisi olmayan bir kısım şirketlere ait dışarıdan temin ettiği düşünülen TC kimlik ve vergi kimlik numarası bilgileriyle, sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla banka dışına çıkarttığı,

- İlgili banka tarafından gerçekleştirilen inceleme, soruşturma çalışmaları ve yapılan değerlendirmeler neticesinde şu ana kadar ulaşılan bilgiler ışığında şirketlere ait sorgu yapılmış olmasına rağmen gerçek kişi tacir bilgilerinin de sorgularda yer aldığının tespit edildiği,

- Bilgilerine ulaşılan gerçek kişi tacirlerin ve tüzel kişi tacirlerin büyük çoğunluğunun banka müşterisi olmadığından dolayı söz konusu TC kimlik ve vergi kimlik verilerinin dışarıdan temin edilmiş olduğu sonucuna varıldığı,

- İlgili bankanın müşterisi olan az sayıda şirketin vergi kimlik numaralarının da dışarıdan gelen listelerden alındığının tahmin edildiği,

- Şahsın bireysel kredibilite bilgisine bakabilen bireysel nitelikli kredi kayıtlarına değil, gerçek kişi tacir ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtlarına ulaştığı,

- KRM sorgulama özet raporunda, sorgu yapılan firmaya ilişkin olarak, bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler, firma sahibi ve ortaklarının firma ile ilişki durumu ve firma kredi skorları bilgilerine ulaşılabildiği,

- Gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, ilave olarak KRM raporlarında yer alan tüzel kişilikleri oluşturan gerçek kişilere ilişkin bilgiler kontrol edildiğinde binlerce gerçek kişinin TC kimlik numarası ve isim bilgilerinin banka dışına aktarıldığının anlaşıldığı,

- İlgi banka tarafından kontrolü mümkün alanlara yönelik olarak denetim, tespit ve farkındalık arttırıcı unsurların değerlendirme altına alınarak, yetki denetimini devre dışında bırakmak için kullanılan yöntemin engellendiği,

- Eski personelin hukuka aykırı edimleri dahilinde veri güvenliği ihlali gerçekleştiğine dair bu durumdan etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usulü ve içeriğine ilişkin olarak çalışmanın TBB Risk Merkezi ile koordineli şekilde başlatıldığı bilgilerine yer verildi.

Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun kararı ile söz konusu veri ihlalinin kurumun internet sayfasında ilan edilmesine karar verildi.