KVKK'DEN, MÜŞTERİ BİLGİLERİNİ ÇALDIRAN OTEL ZİNCİRİNE TÜRKİYE CEZASI

İSTANBUL- Dev otel zincirindeki 4 yıl süren güvenlik ihlaliyle ilgili karar verildi. Türkiye, ABD merkezli otel zinciri Marriott International’a 1 milyon 450 bin TL’lik idari para cezası verdi. Kararda, otelin veri tabanında Türkiye'den 1.2 milyon müşteri kaydının bulunduğu, ancak bu kişilerin kaçının güvenlik ihlalinden etkilendiğinin tespit edilemediği de belirtildi. Türkiye, uğradığı siber saldırı sonucu dünya genelindeki müşterilerine ait bilgileri ele geçirilen ABD merkezli otel zinciri Marriott International ile ilgili kararını verdi. Kişisel Verileri Koruma Kurumu (KVKK) ABD’li otel zincirine yaklaşık 1.5 milyon TL’lik ceza kesti. 

Konuyla ilgili olarak Marriott International Inc’in 4 Aralık 2018 ve 28 Mart 2019 tarihlerinde KVKK’ye gönderdiği açıklamaları inceleyen Kişisel Verileri Koruma Kurulu, Marriott’a idari para cezası uygulanmasına karar verdi.

Habertürk’ten Necdet Çalışkan’ın haberine göre KVKK’nin  Marriott International ile ilgili olarak bugün duyurduğu karar şöyle:

“6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına, karar verilmiştir.”

DEV OTEL ZİNCİRİNE DEV SİBER SALDIRI

2018 yılının aralık ayında siber saldırganların Marriott’a ait Starwood grubu otellerinde konaklayan 500 milyona yakın ziyaretçiye ait verileri ele geçirdiği ortaya çıkmıştı. 

2014 ile 2018 yılları arasını kapsayan güvenlik ihlalinden, sözkonusu otellerde konaklayanların doğum tarihi, pasaport numaraları, e-posta ve kredi kartı bilgilerinin de etkilendiği belirlenmişti.

TÜRKİYE'DEN 1.2 MİLYON MÜŞTERİSİ BULUNUYOR

Marriott Grubu konuyla ilgili olarak Türkiye’de yürürlükte olan Kişisel Verileri Koruma Kanunu kapsamında, KVKK’ya bildirim yapmıştı. Yapılan bu bildirimleri inceleyen Kurul’un bugün açıkladığı kararda, Marriott’un yaklaşık 383 milyon müşteri kaydı arasında, ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu bilgisi de verildi.

Kararda, ihlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunmasına karşın, aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediğine de dikkat çekildi. 

Otel zincirinin veri tabanının tutulduğu ağa 2014'ten beri yetkisiz erişim olduğunun ve ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı oluşturduğunun altı çizilen kararda, bu durumun şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu belirtildi.