21 Mayıs 2021 ile 14 Haziran 2021 tarihleri arasında veri sorumlusu Argon Medical Devices, Inc.; bir siber güvenlik sorunuyla karşı karşıya kalmıştır. Olay, 14 Haziran 2021 tarihinde veri sorumlusunun ABD İnsan Kaynakları Kıdemli Başkan Yardımcısının gelen kutusunda bulunan e-postaların eksik olduğunu fark etmesiyle ortaya çıkmıştır.


Daha fazla araştırma üzerine, veri sorumlusu, dahili bir platformda yetkisiz bir üçüncü tarafça gönderilen tehlikeli bir iş e-postasına maruz kaldığını ve bu e-postanın büyük olasılıkla bir oltalama e-postası olduğunu belirtmiştir. Sonuç olarak, Küresel BT Güvenliği Direktörü, 14 Haziran 2021 tarihinde olayı kontrol altına almış gibi görünen çeşitli siber güvenlik önlemlerini uygulamaya koymuştur.


15 Haziran 2021 tarihinde olay, ABD'deki yerel FBI Siber Suçlar Birimine bildirilmiş ve olayın kapsamını ve niteliğini belirlemek için bir iç soruşturma başlatılmıştır.


19 Temmuz 2021'de, biri Norveç'te olmak üzere tüm (20) Avrupalı çalışanlarının maaş ve yan haklar gibi kişisel verilerinin etkilendiği fark edilmiş ve veri sorumlusu tarafından olayın GDPR Madde 33(1) kapsamında bildirilebilir olup olmadığı değerlendirilmeye başlanmıştır.


24 Eylül 2021 tarihinde, olayın gerçekten de bildirilebilir olduğu sonucuna varan veri sorumlusu, Norveç Veri Koruma Otoritesine (“Datatilsynet”) bildirimde bulunmak üzere Norveçli bir hukuk firmasıyla anlaşmıştır. Veri sorumlusu, Avrupa Birliği/Avrupa Ekonomik Alanında (AB/AEA) birkaç kuruluşa daha sahip olmasından dolayı, diğer bazı Avrupa denetim makamlarına da benzer ihlal bildirimleri göndermiştir.


Bu bağlamda, "ABD'deki Argon Medical Devices, Inc., olay kapsamında işlemiş olduğu kişisel verilerle veri sorumlusu" olarak kabul edilmiştir. Ayrıca, Avrupa merkez ofislerinin İsviçre'de bulunduğunu ve yalnızca İsviçre'deki kuruluşunun diğer AB/AEA kuruluşları üzerinde yönlendirme ve kontrol yetkisine sahip olduğunu belirtmişlerdir. Bu nedenle, Argon'un GDPR Madde 4(16)'nın amaçları doğrultusunda AB/AEA'da bir ana kuruluşu bulunmadığı ifade edilmiştir.


Sonuç olarak Datatilsynet, GDPR Madde 56(1) ve GDPR Madde 60'ta belirtilen işbirliği mekanizması ve prosedürünün bu durumda geçerli olmadığı ve dolayısıyla, GDPR Madde 55(1) uyarınca şirketin, Datatilsynet tarafından kendilerine verilen görevleri yerine getirmeye ve kişisel veri ihlali bildirimi ile ilgili olarak GDPR tarafından kendilerine verilen yetkileri kullanmaya yetkili olduğu kararına varmıştır. Veri sorumlusu şirket, yazılı beyanlarında bu karara itiraz etmemiştir.


4 Ekim 2021 tarihinde Datatilsynet, veri sorumlusuna daha fazla bilgi talebinde bulunmuş ve özellikle olayın neden yalnızca 21 Eylül 2021 tarihinde bildirilebilir olduğu sonucuna vardıklarını açıklamalarını talep etmiştir.


Veri sorumlusu, "72 saat içinde denetim makamlarına bildirimde bulunmak için aşırı gecikme olmaksızın" hareket ettiklerini belirtmiştir. Şirket tarafından olayın raporlanabilir olup olmadığını belirlemek için araştırılmasının gerekli olduğu ve bunu ancak 21 Eylül 2021 tarihinde sonuçlandırabildikleri ifade edilmiştir.


31 Ocak 2022 tarihinde, Datatilsynet, veri sorumlusuna GDPR Madde 33(1)'i ihlal ettiği için 2.5 milyon NOK para cezası verme niyetine ilişkin bir ön bildirim göndermiştir. Veri sorumlusu tarafından bildirimin zamanında gönderildiği savunulmasına rağmen, Datatilsynet tarafından verilen karar onaylanmış ve 8 Mart 2023 tarihinde nihai karar yayınlanmıştır.


Sonuç olarak; GDPR Madde 58(2)(i) ve GDPR Madde 83(4)(a) uyarınca, DPA, kişisel veri ihlalini gereksiz gecikme olmaksızın bildirmeyerek GDPR Madde 33(1)'i ihlal ettiği gerekçesiyle Argon Medical Devices, Inc. şirketine 220.337 € (2 500 000 NOK) idari para cezası vermiştir.


Veri sorumlusu tarafından karar, Norveç Gizlilik Temyiz Kurulu'na temyize götürülmüştür. Kararın temyiz süreci devam etmektedir.


İlgili karara buradan ulaşabilirsiniz.