Habertürk'ten Necdet Çalışkan'ın haberine göre, dev otel zinciri Marriott International hakkında 4 yıl süren güvenlik ihlaliyle ilgili karar verildi.
Konuyla ilgili olarak Marriott International Inc’in 4 Aralık 2018 ve 28 Mart 2019 tarihlerinde KVKK’ye gönderdiği açıklamaları inceleyen Şahsî Dataları Müdafaa Konseyi, Marriott’a idari para cezası uygulanmasına karar verdi.
KVKK’nin Marriott International ile ilgili olarak bugün duyurduğu karar şöyle:
“6698 sayılı Ferdî Bilgilerin Korunması Kanununun (Kanun) 12 nci hususunun (1) numaralı fıkrası çerçevesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari ve önlemleri almayan Şirket hakkında Kanunun 18 nci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,
Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ait Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen bireylere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci hususunun (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne terslik teşkil etmesi nedeniyle, Kanunun 18 nci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına, karar verilmiştir.”
2018 yılının aralık ayında siber saldırganların Marriott’a ilişkin Starwood kümesi otellerinde konaklayan 500 milyona yakın ziyaretçiye ilişkin dataları ele geçirdiği ortaya çıkmıştı.
2014 ile 2018 yılları ortasını kapsayan güvenlik ihlalinden, sözkonusu otellerde konaklayanların doğum tarihi, pasaport numaraları, e-posta ve kredi kartı bilgilerinin de etkilendiği belirlenmişti.
TÜRKİYE'DEN 1.2 MİLYON MÜŞTERİSİ BULUNUYOR
Marriott Kümesi mevzuyla ilgili olarak Türkiye’de yürürlükte olan Ferdî Dataları Muhafaza Kanunu kapsamında, KVKK’ya bildirim yapmıştı. Yapılan bu bildirimleri inceleyen Kurul’un bugün açıkladığı kararda, Marriott’un yaklaşık 383 milyon müşteri kaydı ortasında, ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu bilgisi de verildi.
Kararda, ihlalden etkilenen müşterilere ilişkin bilgiler ortasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunmasına rağmen, tıpkı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediğine de dikkat çekildi.
Otel zincirinin bilgi tabanının tutulduğu ağa 2014'ten beri yetkisiz erişim olduğunun ve ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok önemli bir güvenlik açığı oluşturduğunun altı çizilen kararda, bu durumun şirket tarafından gerekli kontrollerin ve denetimlerin yapılmadığının göstergesi olduğu belirtildi.
