Konuyla ilgili olarak Marriott International Inc’in 4 Aralık 2018 ve 28 Mart 2019 tarihlerinde KVKK’ye gönderdiği açıklamaları inceleyen Kişisel Verileri Koruma Kurulu, Marriott’a idari para cezası uygulanmasına karar verdi.
KVKK’nin Marriott International ile ilgili olarak bugün duyurduğu karar şöyle:
“6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,
Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına, karar verilmiştir.”
2018 yılının aralık ayında siber saldırganların Marriott’a ait Starwood grubu otellerinde konaklayan 500 milyona yakın ziyaretçiye ait verileri ele geçirdiği ortaya çıkmıştı.
2014 ile 2018 yılları arasını kapsayan güvenlik ihlalinden, sözkonusu otellerde konaklayanların doğum tarihi, pasaport numaraları, e-posta ve kredi kartı bilgilerinin de etkilendiği belirlenmişti.
Marriott Grubu konuyla ilgili olarak Türkiye’de yürürlükte olan Kişisel Verileri Koruma Kanunu kapsamında, KVKK’ya bildirim yapmıştı. Yapılan bu bildirimleri inceleyen Kurul’un bugün açıkladığı kararda, Marriott’un yaklaşık 383 milyon müşteri kaydı arasında, ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu bilgisi de verildi.
Kararda, ihlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunmasına karşın, aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediğine de dikkat çekildi.
Otel zincirinin veri tabanının tutulduğu ağa 2014'ten beri yetkisiz erişim olduğunun ve ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı oluşturduğunun altı çizilen kararda, bu durumun şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu belirtildi.