KVKK Kurul Kararı 2020/763 Toplu E-Postada Konu Satırı Hatası ile E-Posta İfşası
Kişisel veriler yalnızca “hack” ile değil, çoğu zaman operasyonel hatalar ile de ifşa olabilir. Kişisel Verileri Koruma Kurulunun 01.10.2020 tarihli ve 2020/763 sayılı Kararı, internetten market alışveriş hizmeti veren bir veri sorumlusunun toplu e-posta gönderiminde yaşanan hatayı ve bu hatanın veri ihlali bildirimi bakımından nasıl değerlendirildiğini örnekleyen önemli bir karar özetidir.
Olayda alıcıların gizliliğini korumak amacıyla e-posta BCC ile gönderilmiş olsa da, gönderimi yapan çalışanın konu satırına hataen 43 müşteriye ait e-posta adresini eklemesi nedeniyle bu 43 adres, e-postanın gönderildiği 400 kişilik alıcı grubu tarafından görülebilir hale gelmiştir. Kurul; etkilenen veri türü, risk düzeyi, bildirim hızı ve alınan önlemler birlikte değerlendirildiğinde bu aşamada veri sorumlusu hakkında KVKK m.12 kapsamında işlem yapılmasına gerek olmadığına karar vermiştir.
Karar: 01.10.2020 · 2020/763
Olay: 400 kişiye toplu e-postada konu satırına yanlışlıkla 43 e-posta adresi yazıldı.
Etkilenen: 43 ilgili kişi · veri türü: e-posta / e-postada ad-soyad geçebilmesi.
Bildirim: İlgili kişilere 48 saat içinde bildirim (29.09.2020) + tevsik edici belgeler.
Sonuç: Risk düşük + hızlı bildirim + önlemler → bu aşamada işlem yok.
1. Kararın Konusu, Tarih ve Numarası
| Başlık | Bilgi |
|---|---|
| Karar Tarihi | 01/10/2020 |
| Karar No | 2020/763 |
| Konu | İnternetten market alışveriş hizmeti veren veri sorumlusunun veri ihlal bildirimi |
| İhlal Tipi | Toplu e-posta gönderiminde konu satırı üzerinden e-posta adresi ifşası |
Karar, KVKK m.12 kapsamında veri sorumlusunun ihlal bildirimi ve olay sonrası aldığı aksiyonlar yönünden değerlendirme yapar. İnceleme; etkilenen kişi sayısı, veri türü, bildirim hızının yanında, ihlalin olumsuz sonuç doğurma riskini de dikkate alan bir yaklaşımla yürütülmüştür.
2. İhlal Nasıl Oldu? Kapsam ve Etkilenen Veriler
2.1. Olay Akışı
- 400 kişilik alıcı grubuna toplu e-posta gönderimi planlandı.
- Alıcı gizliliğini korumak amacıyla alıcılar BCC kısmına eklendi.
- Gönderimi yapan çalışan, e-postanın konu kısmına hataen 43 müşteriye ait e-posta adresini ekledi.
- Sonuç olarak, konu satırında yer alan bu 43 e-posta adresi 400 kişilik alıcı grubuna ifşa oldu.
- Hata hemen fark edildi; teknoloji departmanı ile iletişime geçildi ancak e-postanın geri alınamayacağı anlaşıldı.
2.2. Etkilenen Kişisel Veriler
İhlalden doğrudan etkilenen veri kategorisi e-posta adresleridir. E-posta adresleri, kişinin ad-soyadını içerebildiğinden Kurul özetinde kimlik ve iletişim verilerinin etkilenmiş olabileceği değerlendirmesi de yer almaktadır.
| Öğe | Değer |
|---|---|
| Etkilenen ilgili kişi sayısı | 43 |
| İfşanın görülebildiği alıcı grubu | 400 kişilik toplu gönderim listesi |
| Etkilenen veri türü | E-posta adresi (bazı adreslerde ad-soyad içerebilme ihtimali) |
3. Bildirim Zamanı ve Müdahale Adımları
3.1. İlgili Kişilere Bildirim (48 Saat İçinde)
Karar özetine göre veri sorumlusu, ihlalin gerçekleşmesini takiben en kısa süre içerisinde (48 saat içinde) ilgili kişilerle doğrudan e-posta üzerinden iletişime geçerek 29.09.2020 tarihinde bildirim yapmıştır. Ayrıca 43 ilgili kişi bilgilendirilmiş ve etkilenme düzeyinin minimize edilmesi hedeflenmiştir.
3.2. Zarar Azaltma (Mitigation) Adımları
- Hata tespit edilir edilmez teknoloji birimi ile hızlı koordinasyon (geri alma mümkün değil bilgisi).
- İlgili kişilere doğrudan bildirim ve bilgilendirme.
- 400 alıcıdan ihlale konu e-postanın imha edilmesinin talep edilmesi.
- Kuruma yapılan bildirimde tevsik edici belgelerin sunulması.
3.3. Kuruma Bildirim ve 72 Saat Penceresi
Kurul; veri sorumlusunun “en kısa sürede” bildirim yükümlülüğünü, 24.01.2019 tarihli 2019/10 sayılı Kurul kararındaki 72 saatlik süre içinde yerine getirdiğini değerlendirmiştir. Bu, olay yönetiminde “zamanlama”nın ve belgelendirmenin ne kadar kritik olduğunu gösterir.
4. Kurul Değerlendirmesi: Neden Bu Aşamada İşlem Yapılmadı?
Kurulun 2020/763 sayılı Kararında; aşağıdaki hususlar birlikte dikkate alınarak, veri sorumlusu hakkında KVKK m.12 kapsamında yapılacak bir işlem olmadığı sonucuna varıldığı belirtilmiştir:
- İhlalden 43 ilgili kişinin etkilenmiş olması,
- Etkilenen kişisel verilerin yalnızca e-posta ve e-posta içinde yer alabilecek ad-soyad bilgileriyle sınırlı olması,
- İlgili kişilere ihlale ilişkin 29.09.2020 tarihinde bildirim yapılmış olması ve belgelerin sunulması,
- İhlalin olumsuz sonuç doğurma riskinin düşük değerlendirilmesi,
- 400 alıcıdan ilgili e-postanın imhasının talep edilmesi,
- Kuruma bildirim yükümlülüğünün 72 saat içinde yerine getirilmiş olması.
5. Uyum, Risk Azaltma ve Kurumsal Önlemler
2020/763 kararı, “küçük görünen” e-posta hatalarının dahi veri ihlali bildirimi doğurabileceğini gösterir. Benzer olayları önlemek için teknik ve idari kontroller birlikte tasarlanmalıdır.
5.1. Teknik Önlemler
- DLP / içerik denetimi: Konu satırı ve gövde metninde e-posta/telefon/tc kimlik gibi kalıpları tespit edip uyarı verebilen kontroller.
- Toplu gönderim aracı: CRM veya e-posta pazarlama platformu üzerinden güvenli toplu gönderim (manuel konu satırı riskini azaltır).
- Geri alma / gecikmeli gönderim: “Send delay” ile kısa gecikme penceresi (insan hatasını yakalar).
5.2. İdari Önlemler
- 4 göz kuralı: Toplu gönderimlerde ikinci onay (özellikle konu satırı, ekler, alıcı grubu).
- Şablon zorunluluğu: Konu satırı alanına müşteri verisi girilmesini engelleyen sabit şablonlar.
- Eğitim: KVKK farkındalığı + “e-posta hijyeni” eğitimleri (BCC/CC/konu/ek riskleri).
- Olay müdahale planı: İhlal anında kim ne yapacak, hangi metin kullanılacak, hangi süreler takip edilecek?
https://www.kvkk.gov.tr/Icerik/7033/2020-763
6. Sık Sorulan Sorular
BCC kullanıldıysa nasıl ihlal oldu?
BCC, alıcı listesinin birbirine görünmesini engeller; ancak konu satırı gibi diğer alanlarda kişisel veri yazılması halinde ifşa riski devam eder. Bu kararda ifşa, konu satırına yazılan 43 e-posta adresi üzerinden oluşmuştur.
E-posta adresi “tek başına” kişisel veri sayılır mı?
E-posta adresi çoğu durumda kişinin kimliğini doğrudan veya dolaylı belirlenebilir kılabilir. Ayrıca e-posta adresi ad-soyad içerebilir. Bu nedenle KVKK kapsamında kişisel veri olarak değerlendirilmesi yaygındır.
Kurul neden ceza vermedi?
Kararda; veri türünün sınırlı olması, olumsuz sonuç riskinin düşük değerlendirilmesi, ilgili kişilere hızlı bildirim, e-postanın imhasının istenmesi, Kuruma 72 saat içinde bildirim ve tevsik edici belgelerin sunulması gibi unsurlar birlikte ele alınmıştır.
Benzer olayları önlemek için ilk yapılacak 3 şey nedir?
(1) Toplu e-posta gönderimlerini güvenli araç/şablon üzerinden standardize etmek, (2) konu satırı ve eklerde kişisel veri sızıntısını yakalayacak DLP/uyarı kontrolleri koymak, (3) 4 göz onayı + kısa gecikmeli gönderim (send delay) ile insan hatasını yakalamak.
