Kişisel veri ihlali nedeniyle (Dubsmash Inc.) hakkında verilen idari para cezasına ilişkin Kurul Kararı (2019/222)

Yurtdışında yerleşik Dubmash’in, hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamasının dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerin sızması sonrasında Darknet web’te satıldığı tespit edilmiştir. Söz konusu veri ihlalinden Türkiye’den uygulamaya kayıt yaptırmış yaklaşık 680.000 kişinin etkilenmiş olabileceği tahmin edilmektedir.

Sızdırılan bilgiler arasında kullanıcıların kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerin olduğu tespit edilmiş ve bu verilerin Kasım 2018 ayından beri satışta olduğu düşünülmektedir. Şirket tarafından veri ihlalinin nasıl gerçekleştiğinin bilinmemesi ve veri ihlalinden bir gazeteci vasıtasıyla haberdar olunmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğu Kişisel Verileri Koruma Kurulunca değerlendirilmiştir. 

Ayrıca, veri ihlalinden 08.02.2019 tarihinde haberdar olunmasına karşın, bu ihlalin 27.02.2019 tarihinde Kuruma bildirildiği dikkate alınarak, şirketin Kanunda yer alan “en kısa sürede bildirim” yükümlülüğüne aykırı hareket ettiği değerlendirilmiştir. Bu kapsamda Kurul, Dubsmash hakkında;

  • Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması sebebiyle 680.000 TL,
  • ”En kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulaması nedeniyle 50.000 TL olmak üzere toplamda 730.000 TL idari para cezası uygulanmasına karar vermiştir.