Bilgi Teknolojileri ve İletişim Kurumu - 06.06.2022 - Bilgi Teknolojileri ve İletişim Kurumu Kararları

Mahkeme: Bilgi Teknolojileri ve İletişim Kurumu

Karar Tarihi: 06.06.2022

Bilgi Teknolojileri ve İletişim Kurumu - 06.06.2022

Karar Dilini Çevir:

(5809 S. K. m. 51) (Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği m. 29, 30, 32) (Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği m. 13, 19, 41, 44)

Karar Tarihi: 29.08.2018

Karar No: 2018/İK-SDD/261

Gündem Konusu: İnceleme-Rehberlik Hizmeti Denetimi

KARAR: Sektörel Denetim Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

28.03.2018 tarihli ve E.25210 sayılı Başkanlık Oluru uyarınca, Kurumumuzca rehberlik hizmeti yetkilendirmesi bulunan RA Telekom ve İletişim Hiz. Tic. Ltd. Şti. nezdinde yürütülen inceleme sonucunda;

1. 13.07.2014 tarihli ve 29059 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinin "Gizlilik sözleşmeleri" başlıklı 32 nci maddesinin birinci fıkrasında yer alan "İşletmeci, çalışanlarıyla ve mal veya hizmet alış verişinde bulunduğu üçüncü taraflarla yapacağı sözleşmelerde gizlilik hükümlerine yer verir ve imzalanan sözleşmeleri muhafaza eder." hükmüne aykırı olarak 06.01.2018 ile 01.02.2018 tarihleri arasında herhangi bir sözleşme ve gizlilik anlaşması yapılmaksızın rehber verilerinin yetkisiz kişilerin gözetimine bırakılmış olması nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete'de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğinin "Elektronik haberleşme güvenliği ihlali" başlıklı 19 uncu maddesinin birinci fıkrasında yer alan "İşletmecinin, şebeke güvenliği de dahil olmak üzere elektronik haberleşme güvenliğine ilişkin mevzuata uymaması halinde bir önceki takvim yılındaki net satışlarının yüzde birine (%1) kadar idari para cezası uygulanır." hükmü ve aynı Yönetmelik'in "Yaptırım ölçütleri" başlıklı 44 üncü maddesi hükümleri uyarınca RA Telekom ve İletişim Hiz. Tic. Ltd. Şti. hakkında 2017 yılı Net Satışlarının yüzde bir (%1)’i oranında idari para cezası uygulanması,

2. 05.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu'nun "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51 inci maddesinin onuncu fıkrasında yer alan "Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak; b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, .... saklanır." hükmü ve 13.07.2014 tarihli ve 29059 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinin "Sistem kayıt dosyalarının tutulması" başlıklı 29 uncu maddesinin birinci fıkrasında yer alan "İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar: a) Kullanıcı kimlikleri. b) Oturum açma/kapatma, veri ekleme/silme/değiştirme gibi işlemlerin tarihi, zamanı ve açıklamaları. c) Bağlantı sağlanan ekipmanın kimliği ve yeri. ç) Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları. d) Sistem ayarlarındaki değişiklikleri. e) Kullanılan özel izinleri ve ayrıcalıkları. f) Sistem araçlarının ve uygulamalarının kullanımı. g) Erişilen dosyalar ve erişimin tipi. ğ) Ağ adresleri. h) Erişim kontrol sistemi tarafından üretilen alarmlar. ı) Anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif ve pasif hale getirilmeleri. i) Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri. j) Sistem yöneticileri tarafından yapılan işlemler. k) Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar." hükmüne aykırı olarak rehber verilerinin tutulduğu sunucuya ilişkin erişim ve veri tabanı işlem kayıtlarının tutulmaması nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete'de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğinin "Kişisel verilerin korunmasına ilişkin ihlaller" başlıklı 13 üncü maddesinin birinci fıkrasının (a) bendinin (5) numaralı alt bendinde yer alan "Kişisel verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını ilgili mevzuatta belirlenen süre boyunca tutma yükümlülüğünü yerine getirmemesi, ... halinde bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanır." hükmü, "Elektronik haberleşme güvenliği ihlali" başlıklı 19 uncu maddesinin birinci fıkrasında yer alan "İşletmecinin, şebeke güvenliği de dahil olmak üzere elektronik haberleşme güvenliğine ilişkin mevzuata uymaması halinde bir önceki takvim yılındaki net satışlarının yüzde birine (%1) kadar idari para cezası uygulanır." hükmü, "İçtima" başlıklı 41 inci maddesinin birinci fıkrasında yer alan "Bir fiil ile birden fazla yükümlülüğün ihlal edilmesi halinde bu ihlaller için sadece idarî para cezası öngörülmüşse, en ağır idarî para cezası verilir. Bu ihlaller ile ilgili olarak ilgili mevzuatta idarî para cezasından başka idarî yaptırımlar da öngörülmüş ise, bu yaptırımların her biri de ayrıca uygulanır." hükmü ve "Yaptırım ölçütleri" başlıklı 44 üncü maddesi hükümleri uyarınca RA Telekom ve İletişim Hiz. Tic. Ltd. Şti. hakkında 2017 yılı Net Satışlarının yüzde üç (%3)’ü oranında idari para cezası uygulanması,

3. 13.07.2014 tarihli ve 29059 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinin "Kritik sistemlerde kullanıcı erişim yönetimi" başlıklı 30 uncu maddesinin birinci fıkrasında yer alan "İşletmeci, kritik sistemlerde kullanıcıların, kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adı kullanmalarını sağlar." hükmüne aykırı olarak rehber verilerinin tutulduğu sunucularda kullanıcı adlarının ilgili mevzuatta öngörüldüğü şekilde tanımlanmamış olması nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete'de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğinin "Elektronik haberleşme güvenliği ihlali" başlıklı 19 uncu maddesinin birinci fıkrasında yer alan "İşletmecinin, şebeke güvenliği de dahil olmak üzere elektronik haberleşme güvenliğine ilişkin mevzuata uymaması halinde bir önceki takvim yılındaki net satışlarının yüzde birine (%1) kadar idari para cezası uygulanır." hükmü ve aynı Yönetmelik'in "Yaptırım ölçütleri" başlıklı 44’üncü maddesi hükmü uyarınca RA Telekom ve İletişim Hiz. Tic. Ltd. Şti. hakkında 2017 yılı Net Satışlarının yüzde bir (%1)’i oranında idari para cezası uygulanması

hususlarına karar verilmiştir. (¤¤)

Full & Egal Universal Law Academy