Bu olayda veri ihlali nasıl gerçekleşti?

Dış kaynak sözleşmesi kapsamında çalışan çağrı merkezi satış temsilcisi, 91 müşteriye ait isim-soyisim, iletişim ve plaka verilerinin bulunduğu listeyi kurum e-posta hesabından şahsi e-posta hesabına 22.10.2019 ve 24.10.2019 tarihlerinde göndererek veri ihlaline neden oldu.

DLP (veri sızıntısı önleme) neden ihlali yakalayamadı?

Kullanılan DLP uygulaması belirli anahtar kelimeleri yakalamaya yönelik kurgulanmıştı; ihlale konu e-posta iletimi bu anahtar kelimeleri içermediği için uyarı oluşmadı. Kurul, kişisel verilerin DLP’de tanımlanabilir olmasına rağmen prosedür ve entegrasyonun doğru kurgulanmadığını değerlendirdi.

Kurul tespit süresi ve olay yönetimi açısından neyi eleştirdi?

İhlalin, gerçekleşmesinden yaklaşık iki ay sonra ancak teftiş incelemesiyle tespit edilmesi; tereddüt bildirimleri oluşmasaydı ihlalin tespit edilemeyebileceği ihtimali, iyi kurgulanmış bir olay yönetimi ve izleme/tespit tedbirlerinin önceden belirlenmediği şeklinde değerlendirildi.

72 saat bildirim yükümlülüğü açısından sonuç ne oldu?

Kurul, veri sorumlusunun ihlali öğrendikten sonra 72 saat içinde Kuruma bildirim yaptığını ve ilgili kişilere bildirim gerçekleştirdiğini; bildirim örneklerini de Kuruma ilettiğini dikkate alarak bu kapsamda ayrıca işlem tesis etmedi.

KVKK 2020/357 Kararı: Sigorta Şirketinde Taşeron Çalışanın Kişisel Verileri Şahsi E-Postaya Aktarması (91 Kişi) – 90.000 TL Ceza

KVKK · 2020/357 · Sigorta · Taşeron Personel · DLP

KVKK 2020/357 Kararı: Sigorta Şirketinde Taşeron Çalışan Kaynaklı Veri İhlali (Kurum E-Postasından Şahsi E-Postaya Aktarım)

Kişisel Verileri Koruma Kurulunun 07/05/2020 tarihli ve 2020/357 sayılı kararında, bir sigorta şirketinde dış kaynak sözleşmesi kapsamında çağrı merkezi satış temsilcisi olarak çalışan personelin, şirket sistemlerinden elde ettiği müşteri verilerini kurum e-posta hesabından şahsi e-posta hesabına göndermesi sonucu meydana gelen veri ihlali değerlendirilmiştir.

Olay; çağrı merkezi biriminin teftiş kuruluna yaptığı bildirim ve akabinde yürütülen inceleme sonucunda tespit edilmiştir. Kararda özellikle üç risk alanı öne çıkar: (1) DLP kurgusunun anahtar kelimeye bağlı kalması, (2) ihlalin yaklaşık iki ay sonra tespit edilebilmesi ve (3) eğitim/farkındalık sürecinin tamamlanmaması. Bu bileşenler; KVKK m.12 çerçevesinde teknik ve idari tedbirlerin sürdürülebilir şekilde işletilmesi gerektiğini pratikte göstermektedir.

Olayın Özeti ve Etki DLP & Olay Yönetimi Kontrol Listesi

İçindekiler 1. Olayın Özeti: Ne Oldu, Kim Etkilendi? 2. Kök Nedenler: DLP Kurgusu, İzleme ve Tespit Gecikmesi 3. Kurul Değerlendirmesi: KVKK m.12 ve 90.000 TL Ceza 4. Sigorta Sektörü için Önleyici Tedbirler ve İyi Uygulamalar 5. Uyum, Riskler ve Uygulanabilir Kontrol Listesi 6. Sık Sorulan Sorular

Hızlı Özet

Etkilenen kişi/kayıt: 91.
Etkilenen veriler: isim-soyisim, iletişim, plaka (risk yönetimi/poliçe süreçleri kapsamında).
İhlal yöntemi: Kurum e-postasından şahsi e-postaya liste gönderimi (22.10.2019 & 24.10.2019).
Teknik zayıflık: DLP’nin anahtar kelime bazlı kurgulanması nedeniyle uyarı üretmemesi.
İdari zayıflık: Eğitimlerin tamamlama oranı yüksek olsa da ihlal ile ilgili personelde tamamlanmamış eğitim riski.
Yaptırım: 90.000 TL idari para cezası (KVKK m.12 / m.18). 72 saat bildirimi süresinde.

DLP Taşeron Personel E-posta Güvenliği Olay Yönetimi 90.000 TL

Not: Sigorta sektöründe poliçe süreçleri; kimlik/iletişim verilerinin yanında risk yönetimi kapsamında araç plakası gibi verileri de içerir. Bu verilerin kontrolsüz dışarı aktarımı, yalnızca “veri sızıntısı” değil aynı zamanda hedefli dolandırıcılık ve yetkisiz portföy takibi gibi ikincil riskleri de tetikleyebilir.

1. Olayın Özeti: Ne Oldu, Kim Etkilendi?

Veri sorumlusunun çağrı merkezi birimi tarafından teftiş kuruluna iletilen tereddütler üzerine başlatılan incelemede; dış kaynak sözleşmesi çerçevesinde çalışan bir personelin, sigortacılık ekranları (ör. ana sigortacılık ekranları) üzerinden ulaştığı müşteri verilerini portföy takibi amacıyla kullanabileceğine dair bulgular değerlendirilmiş ve inceleme neticesinde veri ihlali tespit edilmiştir.

İncelemeye göre ihlal; sistemde tutulan isim-soyisim, iletişim ve plaka bilgilerinin yer aldığı listenin, taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine 22.10.2019 ve 24.10.2019 tarihlerinde gönderilmesi ile gerçekleşmiştir.

Başlık	Karar özetindeki bilgi	Pratik uyum yorumu
Etkilenen kişi/kayıt	91	Ölçek sınırlı görünse de “dışarı aktarım” niteliği kritik kabul edilir.
Etkilenen veri kategorileri	Kimlik + iletişim + risk yönetimi (plaka)	Plaka verisi ile hedefli arama/dolandırıcılık riski artabilir.
İhlal kanalı	Kurum e-postasından şahsi e-postaya aktarım	E-posta DLP/şifreleme/engelleme politikaları kritik kontrol noktasıdır.
İhlalin tespiti	Teftiş incelemesiyle; gecikmeli tespit	Olay yönetimi ve izleme kabiliyeti “erken tespit” hedefini karşılamalı.

Önemli çıkarım: Kurumsal sistemlere erişimi olan taşeron personelin “kurum e-posta hesabı” kullanması tek başına güvence değildir. Asıl farkı yaratan; erişim yetkisi, veri dışarı aktarım kontrolleri ve eğitim/denetim üçlüsüdür.

2. Kök Nedenler: DLP Kurgusu, İzleme ve Tespit Gecikmesi

Karar özetinde iki kritik teknik/operasyonel problem dikkat çeker: (i) DLP kural setinin anahtar kelime odaklı olması ve (ii) ihlalin “önceden belirlenmiş iyi bir olay yönetimi” olmaksızın gecikmeli tespit edilmesi. Bu iki unsur birleştiğinde, ihlalin bir süre görünmez kalması ve ancak manuel/denetimsel süreçlerle ortaya çıkması riski büyür.

2.1. DLP neden uyarı üretmedi?

Veri sorumlusu, kullanılan veri sızıntısı önleme uygulamasının belirli anahtar kelimeleri yakalamak üzere kurgulandığını; ancak ihlale konu e-postanın bu anahtar kelimeleri içermemesi nedeniyle uyarı oluşmadığını belirtmiştir. Kurul ise; ihlal konusu verilerin DLP’de tanımlanabilir kişisel veriler olduğu dikkate alındığında, bu durumun “doğru ve tutarlı bir prosedürün” kuruma uygun şekilde entegre edilmediğine işaret ettiğini değerlendirmiştir.

2.2. Tespit gecikmesi ve olay yönetimi eksikliği

İhlalin, gerçekleşmesinden yaklaşık iki ay sonra ancak tespit edilebilmiş olması; ayrıca tereddütler oluşmasaydı ihlalin tespit edilemeyebileceği değerlendirmesi, “önceden belirlenmiş tedbirler” ve “izleme” boyutunun güçlendirilmesi gerektiğini gösterir.

Erken uyarı: E-posta ekleri/CSV/Excel gibi liste aktarımlarında anomali tespiti ve otomatik bloklama.
Denetim izi: Hangi kullanıcı hangi veriyi hangi kanalla dışarı aktardı? (log + korelasyon).
Olay müdahalesi: Önceden tanımlı playbook (izolasyon, doğrulama, bildirim, delil).

2.3. Eğitim ve farkındalık: “Tamamlanmamış eğitim” riski

Veri ihlal bildirimi tarihindeki beyana göre, ihlal ile ilgili çalışanların tamamı kişisel veri koruma eğitimini henüz tamamlamamıştır. Eğitimlerin gruplar halinde planlandığı ve çalışanların %92’si için tamamlandığı belirtilse de, ihlali gerçekleştiren personel için eğitimin atanmış olmasına rağmen alınmadığı hususu, idari tedbir eksikliği değerlendirmesine konu olmuştur.

Öneri: Taşeron/outsourcing modellerinde eğitim “planlanmış” olmak yerine; erişim ön koşulu olarak kurgulanmalı (eğitim tamamlanmadan kritik ekranlara yetki verilmemesi gibi).

3. Kurul Değerlendirmesi: KVKK m.12 ve 90.000 TL İdari Para Cezası

Kurul; veri sorumlusu sisteminde tutulan 91 müşteriye ait listenin taşeron çalışan tarafından şahsi e-postaya gönderilmesi ile veri ihlalinin gerçekleştiğini değerlendirmiştir. Ayrıca DLP kurgusunun ihlali yakalayamaması ve ihlalin gecikmeli tespiti, teknik/organizasyonel tedbirlerin kuruma uygun şekilde işletilmediğine işaret eden unsurlar olarak ele alınmıştır.

3.1. Teknik tedbirler açısından değerlendirme

DLP entegrasyonu: Kişisel veriler “tanımlanabilir” olmasına rağmen kuralların doğru/uygun şekilde kurgulanmaması.
İzleme ve tespit: “Olmaması gereken hareketin” takip edilmesi noktasında teknik tedbirlerin yetersiz kalması.
Olay yönetimi: Tedbirlerin önceden belirlendiği sürdürülebilir bir olay yönetimi kurgusunun olmaması.

3.2. İdari tedbirler açısından değerlendirme (eğitim)

İhlal ile ilişkili çalışanların tamamının eğitim almamış olması ve ihlali gerçekleştiren personelin atanmış eğitimi tamamlamamış olması, Kurul tarafından yeterli idari tedbirin alınmadığına ilişkin bir gösterge olarak değerlendirilmiştir.

3.3. Yaptırım ve bildirim süresi

Bu değerlendirmelerden hareketle; KVKK m.12/1 çerçevesinde gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, KVKK m.18/1-b uyarınca 90.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ayrıca Kurul; veri sorumlusunun ihlali öğrendikten sonra 72 saat içinde Kuruma bildirimde bulunduğunu, ilgili kişilere bildirim yaptığını ve bildirim örneklerini Kuruma ilettiğini dikkate alarak, KVKK m.12/5 kapsamında ayrıca işlem tesis etmemiştir.

Uyum mesajı: “Bildirim süresine uyum” önemli bir yükümlülüktür; ancak Kurul kararları, önleme ve erken tespit kabiliyetinin zayıflamasını KVKK m.12 açısından başlı başına bir risk olarak görmektedir.

4. Sigorta Sektörü için Önleyici Tedbirler ve İyi Uygulamalar

Sigorta şirketlerinde çağrı merkezi ve satış operasyonları sıkça dış kaynak modeliyle yürütülür. Bu yapı, ölçek ve verimlilik sağlasa da; erişim yönetimi, veri dışarı aktarım kontrolleri ve farkındalık yönetilmediğinde veri ihlali riskini artırır.

4.1. E-posta güvenliği ve veri dışarı aktarım kontrolü

Kurum → şahsi e-posta engeli: Dış domain’lere otomatik yönlendirme/iletim kısıtları, gerekçeli istisna süreçleri.
Dosya türü kontrolleri: CSV/XLSX gibi liste dosyalarında otomatik tarama ve şifreleme/engelleme politikaları.
Maskeleme: Plaka gibi veriler raporlama amacıyla gerekiyorsa “kısmi maskeleme” ve amaçla sınırlılık.

4.2. DLP’yi anahtar kelimeden “veri tipine” taşıma

Veri sınıflandırma: Kimlik/iletişim/plaka gibi veri tipleri için tanımlayıcı (pattern) kuralları.
Context tabanlı kurallar: “Kurum dışına gönderim” + “müşteri listesi” + “yüksek hacim” birleşince alarm/blok.
İnceleme kuyruğu: Kritik iletimlerde güvenlik/uyum onayı ile serbest bırakma.

4.3. Taşeron personel yönetişimi

En az ayrıcalık: Poliçe ekranları ve listelere erişim rol bazlı ve süreli olmalı.
Yetki yaşam döngüsü: Rol değişimi/ayrılma durumunda erişimlerin anında kapatılması.
Sözleşmesel çerçeve: Gizlilik taahhüdü + denetim hakkı + ihlal halinde yaptırım maddeleri.

4.4. Eğitim: erişim ön koşulu yaklaşımı

Eğitimlerin “planlanması” yerine “tamamlanması” hedeflenmelidir. Özellikle taşeron personelde, kritik ekran yetkisi için KVKK farkındalık eğitimini tamamlama bir ön koşul olarak kurgulanabilir.

İyi uygulama: “Teknik kontrol + eğitim + denetim” üçlüsü. Sadece DLP kurmak veya sadece eğitim vermek tek başına yeterli değildir; kontroller kurum işleyişine uygun şekilde entegre edilmelidir.

5. Uyum, Riskler ve Uygulanabilir Kontrol Listesi

Bu karar; veri sorumlularının KVKK m.12 kapsamındaki yükümlülüklerinin yalnızca “sistem kurmak” değil, sistemleri kuruma uygun, ölçülebilir ve sürdürülebilir biçimde işletmek olduğunu gösterir. Aşağıdaki kontrol listesi, benzer ihlallerin önlenmesine yardımcı olacak pratik adımlar içerir.

5.1. Başlıca riskler

Outsourcing riski: Taşeron personelin kurum verisini kişisel kanallara taşıması.
DLP kör noktaları: Anahtar kelimeye bağlı kuralların veri tipini yakalayamaması.
Tespit gecikmesi: Olay yönetimi ve izleme eksikliği nedeniyle ihlalin geç fark edilmesi.
Eğitim boşlukları: Eğitim atanmış olsa bile tamamlanmaması ve erişimle ilişkilendirilmemesi.

5.2. Mini kontrol listesi (hemen uygulanabilir)

Kurum → şahsi e-posta: Dış domain’e gönderim kuralı varsayılan olarak kapalı mı?
DLP kurgusu: Anahtar kelime yanında veri tipi/pattern tabanlı kurallar var mı?
Yüksek hacim aktarım: Liste dosyaları (CSV/XLSX) için otomatik blok/karantina uygulanıyor mu?
Rol bazlı yetki: Taşeron personelin ekran yetkileri en az ayrıcalık prensibine uygun mu?
Yetki süreleri: Yetkiler süreli mi, periyodik kontrol ediliyor mu?
Eğitim ön koşulu: Kritik erişimler için “eğitim tamamlandı” şartı var mı?
İzleme & alarm: Kurum dışına veri aktarımı için SIEM/uyarı mekanizması bulunuyor mu?
Olay yönetimi: E-posta ile veri sızıntısı senaryosu için playbook (durdur, doğrula, delil, bildir) hazır mı?

Kaynak (Kurul Kararı): kvkk.gov.tr
İncelemek isterseniz: Veri İhlalinden Sonra Kimliğinizi Nasıl Koruyabilirsiniz?

6. Sık Sorulan Sorular

Taşeron personel kurum e-postası kullanıyorsa risk azalmaz mı?

Kurum e-postası tek başına yeterli değildir. Asıl belirleyici olan; dışarı aktarım engelleri, DLP kuralları, yetki yönetimi ve eğitim/denetim süreçleridir.

DLP’nin anahtar kelime ile çalışması neden yetersiz kalabilir?

Kişisel veriler her zaman beklenen kelimeleri içermez. Bu nedenle anahtar kelimeye ek olarak pattern/veri tipi tanımları (telefon formatı, plaka desenleri, tablo/listeler vb.) ve bağlamsal kurallar (dış domain + liste ekleri + yüksek hacim) gerekir.

İhlalin iki ay sonra tespit edilmesi neyi gösterir?

Bu durum; izleme, alarm, olay yönetimi ve “olması gerekmeyen hareketin” takibi konusunda teknik/organizasyonel süreçlerin yeterince olgunlaşmadığını gösterir. Erken tespit, ihlal etkisini ciddi ölçüde düşürür.

Kurula bildirim yapılmışsa neden yine ceza uygulanır?

Bildirim yükümlülüğüne uyum önemli olsa da, Kurul ayrıca ihlali önlemeye yönelik teknik ve idari tedbirlerin yeterliliğini değerlendirir. Bu kararda DLP, izleme/tespit ve eğitim boyutları KVKK m.12 kapsamında yetersiz bulunmuştur.

KVKK 2020/357 Sigorta Veri İhlali Taşeron Çalışan DLP E-posta Güvenliği Olay Yönetimi KVKK m.12 90.000 TL Plaka Verisi