Site Overlay
E-posta Gönderim Listesinde Hata Yapan Kuruma Büyük Ceza
By admin

İngiliz Veri Koruma Otoritesi (ICO), mağdurların e-posta adreslerini ifşa etmesi sebebiyle çocuk istismarı alanında çalışmalar yapan Kurum’a 200.000 pound para cezası verdi.

Çocuk istismarını önlemeye yönelik çalışmalar yürüten Kuruluş (IICSA), istismar mağdurları ya da istismardan kurtulan kişilere Kuruluş’un faaliyetlerine ilişkin olarak e-posta aracılığıyla bilgilendirmeler yapmaktadır. Kuruluş’un bir çalışanı, yaklaşan bir duruşmaya ilişkin bilgilendirme yapmak amacıyla 90 kişiye e-posta göndermiş, ancak sonrasında içeriğinde fark ettiği bir hata üzerine aynı e-postayı tekrardan iletmiştir. Ne var ki ikinci attığı e-postada, alıcıların adreslerini “gizli” (bcc) kısmı yerine, doğrudan “kime” (to) kısmına yazma hatasını yapmıştır. Bunun neticesinde alıcılar kısmında bulunan herkes, diğer alıcıları görebildiğinden, çocuk istismarına maruz kalan 90 kişinin kimliğinin tespit edilme tehlikesi ortaya çıkmıştır. Üstelik, bu mail adreslerinden 52’sinin alıcıların bütün ismini içerdiği tespit edilmiştir. Her ne kadar sonradan gönderilen postanın silinmesi uyarısı yapılsa da bazı e-posta alıcılarının “tümünü yanıtla” (reply all) seçeneğiyle cevap vermeleri ve e-posta zincirine başka kişilerin eklenmesi sebebiyle mağdurların kimliklerinin yayılma tehlikesi oluşmuştur.

Yapılan incelemede e-posta aracılığıyla yayılan gizli ve özel nitelikli bu veri göz önünde bulundurulduğunda ilgili kuruluşun gerekli idari ve teknik tedbirleri almadığı sonucuna varılmıştır. ICO bu sonuca ulaşırken özellikle iki hususun altını çizmiştir:

⇒ Her alıcıya ayrı şekilde e-posta gönderebilen bir sistemin kurulmamış olmaması,

⇒ Alıcı adreslerinin gizli (bcc) kısmına eklenerek gönderildiği e-postalara ilişkin olarak, çalışanlara uygun bir eğitim ve yönlendirmenin sağlanmamış olması

Sonuç olarak bu tedbirleri almamış olması sebebiyle veri güvenliğini ihlal eden kuruluşa çok yüksek bir para cezası verilmiştir. Ayrıca hatırlatmak gerekir ki ICO, daha önce de benzer şekilde HIV virüsü taşıyan hastalara gönderdiği bülten sebebiyle kişilerin kimlik bilgilerini ifşa eden bir sağlık kuruluşuna 180.000 pound para cezası vermişti.