Marriott'a Türklerin ve İngilizlerin kestiği cezalar tartışılıyor: Kişisel verileri korumanın değeri ne kadar?

Uğradığı siber saldırı sonucu dünya genelindeki müşterilerine ait bilgileri ele geçirilen ABD merkezli otel zinciri Marriott International’a bir ceza da İngiltere’den geldi. Ülkedeki kişisel bilgi güvenliği kuruluşu ICO, Avrupa’daki Genel Veri Koruma Yönetmeliği (GDPR) düzenlemeleri kapsamında, ABD’li otel zincirine  99 milyon sterlin (123 milyon dolar) tutarında para cezası keseceklerini duyurdu.

2014 ile 2018 yılları arasını kapsayan güvenlik ihlali nedeniyle söz konusu otellerde konaklayanların doğum tarihi, pasaport numaraları, e-posta ve kredi kartı gibi kişisel bilgileri hacker’ların eline geçmişti. Yapılan tespitlere göre ABD’li otel zincirinin  dünya genelindeki 339 milyondan fazla müşterisi güvenlik açığından etkilenmişti.

İngiliz ICO’nun resmi açıklamasına göre bu 339 milyon müşterinin yaklaşık 30 milyonu Avrupa Ekonomik Bölgesi'ndeki 31 ülkede bulunan kişilerden oluşurken, 123 milyon dolarlık cezanın kesileceği İngiltere’den ise 7 milyon kişi yer alıyor.

Habertürk’ten Necdet Çalışkan’ın haberine göre henüz nihai kararını vermediğini, konunun taraflarından alınacak olan savunmanın ardından cezanın kesinleşeceğini duyuran kurumun bu bildiriminin ardından Marriott International da ABD’de Menkul Kıymetler ve Borsa Komisyonu’na (SEC) açıklama yaptı.

Marriott International’ın Başkanı ve CEO’su Arne Sorenson, ICO’nun bildirim nedeniyle hayal kırıklığına uğradıklarını ifade ederek, “Bu olaydan dolayı çok üzgünüz. Konuk bilgilerinin mahremiyetini ve güvenliğini çok ciddiye alıyoruz ve misafirlerimizin beklediği mükemmellik standardını karşılamak için çok çalışmaya devam ediyoruz” dedi.

ABD’li şirketin açıklamasında, saldırıya uğrayan konuk rezervasyon veri tabanını artık ticari faaliyetlerde kullanmadıklarının da altı çizildi.

TÜRKİYE DE CEZA KESMİŞTİ

Hatırlanacağı üzere Türkiye’de de Kişisel Verileri Koruma Kurumu (KVKK) Marriott International Inc’ye Marriott’a toplam 1 milyon 450 bin TL’lik idari para cezası uygulanmasına karar vermişti.

KVKK’nin kararında, ihlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunmasına karşın, aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediğine de dikkat çekilmişti.

CEZALAR YENİ BİR TARTIŞMAYI ALEVLENDİRDİ

ABD’li zincirle ilgili olarak 2014-2018 yılları arasında süren 4 yıllık güvenlik açığının ortaya çıkmasının ardından verilen bu cezalar, yeni bir tartışmayı da alevlendirdi.

Türkiye’nin, 1.2 milyon Türk’e ait müşteri kaydı bulunan Marriott’a kestiği ceza 1 milyon 450 bin TL, bugünkü kurla 252 bin dolar olarak belirlenirken; İngiltere’nin 7 milyon İngiliz müşteri için kestiği toplam ceza 123 milyon dolar oldu.

Müşteri başına kesilen ceza tutarlarına bakıldığında bir İngiliz için 17.5 doları (100 TL) geçen rakam, bir Türk müşteri için ise 0.20 dolarda (1 TL) kaldı.
Avrupa’da geçen yıl yürürlüğe giren GDPR düzenlemeleri kapsamında kişisel bilgilerin güvenliği ihlal eden şirketlere, söz konusu şirketin bir önceki mali yılındaki küresel gelirinin yüzde 4'üne kadar para cezası verilebiliyor.

Türkiye’de ise 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu kapsamındaki idari para cezaları, dört başlık altında ve şu aralıklarda uygulanıyor:

• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5 bin TL’den 100 bin TL’ye kadar 
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15 bin TL’den 1 milyon TL’ye kadar
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25 bin TL’den 1 milyon TL’ye kadar
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20 bin TL’den 1 milyon TL’ye kadar