Giriş
Birleşik Krallık Bilgi Komiserliği Ofisi [Information Commissioner’s Office], 17 Haziran 2025 tarihinde, bir genetik test şirketi olan ‘23andMe’ye Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin[1] [General Data Protection Regulation] birden fazla ihlali nedeniyle 2,31 milyon pound para cezası vermiştir[2]. Bu para cezası, yüz binlerce Birleşik Krallık müşterisinin kişisel verilerini ifşa eden büyük ölçekli bir veri ihlaline yönelik kapsamlı bir soruşturmanın ardından verilmiştir. Bilgi Komiserliği Ofisi, ‘23andMe’ firmasının müşterilerin hassas kişisel verilerini, özellikle genetik verileri korumak için uygun teknik ve organizasyonel önlemleri uygulamadığı ve bunun sonucunda üçüncü bir tarafın yasa dışı erişiminin olduğu sonucuna varmıştır.
- Hadisenin Arka Planı
‘23andMe’, tüketicilere doğrudan evde tükürük toplama kitleri aracılığıyla genetik test hizmetleri sağlayan Amerika Birleşik Devletleri (ABD) merkezli bir biyoteknoloji şirketidir. Müşteriler, ataları, mirasları ve olası sağlık eğilimleri hakkında bilgi edinir. Bunu yaparken ‘23andMe’, Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamında gelişmiş koruma gerektiren özel kategori kişisel veri olarak sınıflandırılan genetik veriler de dâhil olmak üzere son derece hassas kişisel verileri toplar ve depolar.
1.1. Veri ihlali [data breach]
Bir bilgisayar korsanı 2023 yılında, 155 binden fazla Birleşik Krallık müşterisine ait kişisel verilere yetkisiz erişim elde etmek için bir kimlik bilgisi doldurma saldırısı gerçekleştirmiştir. Kimlik bilgisi doldurma, diğer platformlardaki hesaplara erişim elde etmek için ilgisiz ihlallerden daha önce tehlikeye atılmış kullanıcı adı ve parola kombinasyonlarını kullanmayı içerir.
Erişim sağlandıktan sonra, bu hacker çalınan verileri, bazıları genetik veya sağlık bilgileri gibi özel kategori kişisel verileri oluşturan verileri[3] çevrimiçi forumlarda satışa sunmuştur. İhlal, etkilenen bireyler için çok az başvuru yolu ile büyük miktarda hassas veriyi açığa çıkarmıştır.
1.2. Yasal bağlam ve Bilgi Komiserliği Ofisi’nin rehberliği
Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne göre, veri denetleyicileri kişisel verilerin güvenli bir şekilde işlenmesini sağlamak zorundadır. Bu bağlamda, diğerlerinin yanı sıra iki önemli hükmün ihlal edildiği tespit edilmiştir:
Madde 5(1-f): “Kişisel verilerin ‘uygun teknik veya organizasyonel önlemler kullanılarak, yetkisiz veya hukuka aykırı işleme ve kazaen kayba, imhaya veya hasara karşı koruma da dâhil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde’ işlenmesini gerektirir.”
Madde 32(1): “Veri denetleyicilerinin ve işlemcilerinin ‘riske uygun düzeyde güvenlik sağlamak için uygun teknik ve organizasyonel önlemleri’ uygulamasını gerektirir.”
Bilgi Komiserliği Ofisi, karar verirken kendi rehberliğine de atıfta bulunmuştur: (i) Çevrimiçi hizmetlerdeki şifreler ve (ii) Veri güvenliğine dair rehber [passwords in online services, a guide to data security][4].
- Bilgi Komiserliği Ofisi’nin Bulguları
2.1. Yetersiz güvenlik önlemleri [inadequate security measures]
Yüksek riskli kişisel verileri işlemesine rağmen, ‘23andMe’ uygun teknik ve organizasyonel önlemleri uygulamada başarısız olmuştur. Bilgi Komiserliği Ofisi, şirketin mevcut güvenlik önlemlerinin, özellikle söz konusu verilerin niteliği ve hacmi göz önüne alındığında, Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamında gerekli standartları karşılamadığı sonucuna varmıştır.
‘23andMe’ firmasının Bilgi Komiserliği Ofisi’nde odaklandığı güvenlik önlemlerinden bazıları şunlardır:
- a) Kullanıcı adı ve oturum açma uygulamaları [username and login practices]: ‘23andMe’ firması, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 5(1-f) ve 32(1-b) maddeleri uyarınca uygun bir teknik önlem olarak kabul edilebilecek öngörülemez kullanıcı adları seçeneği sunmak yerine kullanıcıların elektronik posta (e-posta) adreslerini kullanarak oturum açmasını zorunlu kılmıştır. Birleşik Krallık Genel Veri Koruma Yönetmeliği uyarınca belirli bir koşul olmasa da, Bilgi Komiserliği Ofisi bunu hesap güvenliğini güçlendirmek için kaçırılmış bir fırsat olarak görmüştür. Öngörülebilir oturum açma kimlik bilgilerinin kullanılması, kimlik bilgisi doldurma saldırısının başarısına katkıda bulunmuştur.
- b) Şifre yönetimi hataları [password management failures]: ‘23andMe’ firması güçlü şifre politikalarını uygulamada başarısız olmuştur. Veri ihlali sırasında;
Asgari şifre uzunluğunun sadece 8 karakter olduğu;
Karmaşıklık koşullarının (özel karakterler gibi) olmadığı;
Kullanıcıların eski parolalarını Ağustos 2023’e kadar yeniden kullanabildiği,
Yaygın veya zayıf parolaların kullanımını engellemek için bir parola ‘reddetme listesi’nin bulunmadığı
tespit edilmiştir. Bu uygulamalar, Bilgi Komiserliği Ofisi’nin çevrimiçi hizmetlerdeki parolalar konusunda önerdiği, asgari parola uzunluğu, parola gücünün zorunlu kılınması ve reddetme listelerinin kullanılması gibi adımların yetersiz kalmasına neden olmuştur.
- c) Çok faktörlü kimlik doğrulamayı zorunlu kılmama [failure to mandate multi-factor authentication]: ‘23andMe’ firması platformunda çok faktörlü kimlik doğrulamanın kullanılabilir olmasına rağmen, ‘23andMe’ bunu zorunlu kılmada başarısız olmuştur. İhlal sırasında;
Müşterilerin yalnızca yüzde 0,2’sinin çok faktörlü kimlik doğrulamasını kullandığı (bu isteğe bağlıydı),
Yüzde 21,5’inin ise Apple veya Google üzerinden tek kişilik oturum açma [single sign-on] kullandığı (bu da çok faktörlü kimlik doğrulaması gerektiriyordu)
saptanmıştır.
Çok faktörlü kimlik doğrulaması veya tek kişilik oturum açma etkinleştirilmiş hesapların hiçbiri tehlikeye atılmamıştır.
‘23andMe’ firması, bazı müşterilerin, genellikle yaşlı kullanıcıların, temel dijital becerilerden yoksun olabileceği endişesi nedeniyle çok faktörlü kimlik doğrulamasını zorunlu kılmaktan kaçındığını belirtmiştir. Bu, Bilgi Komiserliği Ofisi tarafından çok faktörlü kimlik doğrulamasının ‘23andMe’ oturum açma sürecinin zorunlu bir parçası olarak neden tanıtılmadığına dair yetersiz bir açıklama olarak görülmüştür. Zorunlu çok faktörlü kimlik doğrulaması, müşteri hesaplarını korumak için en etkili yollardan biri olarak yaygın olarak kabul edilmektedir[5] [Ulusal Siber Güvenlik Merkezi (National Cyber Security Centre) dâhil].
- d) Tamamlayıcı önlemlerin eksikliği [lack of supplementary measures]: Bilgi Komiserliği Ofisi ayrıca, zorunlu çok faktörlü kimlik doğrulamasının olmaması durumunda ‘23andMe’ firmasının riskleri azaltmak için başka önlemler uygulayabileceğini ancak ‘23andMe’nin bunu başaramadığını belirtmiştir.
Bu tür önlemler arasında kullanıcıların cihaz, tarayıcı veya bağlantı parmak izi ya da hesap erişim geçmişinin incelenmesi de yer alabilirdi.
Bilgi Komiserliği Ofisi, bu tür kontrollerin, Birleşik Krallık Genel Veri Koruma Yönetmeliği uyarınca özel olarak gerekli olmasa da, diğer önlemlerle birlikte kişisel verilerin uygun düzeyde korunmasını sağlayacak uygun teknik önlemleri oluşturacağını ileri sürmüştür.
- e) Genetik verilerin yetersiz korunması [insufficient protection of genetic data]: Müşteriler, oturum açtıktan hemen sonra ham genetik verilerini herhangi bir ek doğrulama olmadan indirebildiler. Bu, genetik verilerin doğası gereği hassas olması ve gelişmiş koruma gerektirmesi nedeniyle önemli bir risk oluşturuyordu.
‘23andMe’ daha sonra doğum tarihi kontrolü sunmuş olsa da, Bilgi Komiserliği Ofisi bu tür bilgilerin genellikle bilgisayar korsanları için kolayca erişilebilir olduğunu ve bu nedenle kimlik doğrulama adımı olarak yeterli olmadığını belirtmiştir. Dahası, dâhili günlük kaydında genetik verilerini indirmek için kullanılan IP adresleri yakalanamamış ve bu da ‘23andMe’nin bilgisayar korsanı tarafından kaç genetik veri dosyasına erişildiğini belirleyememesine neden olmuştur.
- f) (Önceden) Bilinen tehditlere hazırlıksızlık [failure to prepare for known threats]: Bilgi Komiserliği Ofisi, ‘23andMe’nin kimlik bilgisi doldurma saldırılarının bilinen ve artan tehdidine karşı sistemlerini yeterli şekilde değerlendirmediğini ve test etmediğini tespit etmiştir. Şirket ayrıca, Bilgi Komiserliği Ofisi’nin veri güvenliği rehberine aykırı olarak teknik ve organizasyonel güvenlik önlemlerinin etkinliğini değerlendiren dâhili raporlar hazırlamayı da başaramamıştır.
‘23andMe’ firması için risk varsayımsal değildi. Şirket daha önce 2019 ve 2020 yıllarında platformunda izole kimlik bilgisi doldurma olaylarını tespit etmişti. Buna rağmen, bu tür saldırıları simüle etmemiş veya bunlara hazırlık yapmamıştır. ‘23andMe’, kimlik bilgisi doldurmayı simüle etmek, uyarı sistemlerini güncellemek ve siber güvenlik egzersizleri yapmak için ancak Ekim 2023’ten sonra (siber saldırıdan sonra) test hesaplarını kullanmaya başlamıştır.
Bilgi Komiserliği Ofisi ayrıca ‘23andMe’nin siber saldırıya verdiği yanıtın erken uyarı işaretlerine rağmen geciktiğini ve yetersiz olduğunu belirtmiştir. Şüpheli faaliyet Nisan 2023’te başlamış olsa da ardından Mayıs ayında ve onun ardından Eylül 2023’te yoğun kimlik bilgisi doldurma faaliyeti gerçekleşmiş olsa da ‘23andMe’, çalışanının çalınan verileri ‘Reddit’te fark etmesiyle Ekim 2023’te tam bir soruşturma başlatmıştır.
2.2. Ağırlaştırıcı sebeplerin varlığı [presence of aggravating factors]
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin potansiyel ihlalinin ciddiyetini değerlendirirken, Bilgi Komiserliği Ofisi genellikle herhangi bir kuruluşun daha önemli bir para cezası almasını gerektirecek herhangi bir ağırlaştırıcı faktörün varlığına bakma eğilimindedir.
Bilgi Komiserliği Ofisi, ağırlaştırıcı etkenlerin olduğunu ileri sürmüştür. Temel etkenler arasında şunlar yer almıştır:
Bilgi Komiserliği Ofisi’ne yetersiz bildirim;
Söz konusu kişisel verilerin hassasiyeti;
Etkilenen kişi sayısı;
Uzun süreli uyumsuzluk;
Meydana gelen önemli hasar ve sıkıntı,
İhlalin belirlenmesinde gecikmeler.
Sonuç
Bu yaptırım eylemi, özellikle genetik veriler gibi hassas veya özel kategorideki kişisel verilerin işlenmesinde proaktif, risk tabanlı güvenlik uygulamalarının önemini vurgulamaktadır.
Bilgi Komiserliği Ofisi, ‘23andMe’ firmasının risklerin farkında olmasına ve geçmişte benzer sorunlar yaşamasına rağmen Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki temel beklentileri karşılamadığını tespit etmiştir. ‘23andMe’nin müşterilerinin genetik verilerini topladığı göz önüne alındığında, kişisel verileri korumak için katı önlemlerin alınması gerektiği açıktı.
Bilgi Komiserliği Ofisi’nin araştırması, Birleşik Krallık Genel Veri Koruma Yönetmeliği, Ulusal Siber Güvenlik Merkezi kılavuzu ve Bilgi Komiserliği Ofisi’nin önerilerinde özetlenenler gibi düzenleyici beklentiler ve yerleşik siber güvenlik en iyi uygulamalarıyla uyum sağlamamanın yalnızca kuruluşlar için değil, aynı zamanda verilerini tuttukları kişiler için de ciddi sonuçları olabileceğini vurgulamaktadır. Bu dava, tüm veri denetleyicilerine uyumsuzluğun maliyeti konusunda açık bir uyarı niteliğindedir.
Ancak, bu Bilgi Komiserliği Ofisi cezası önemli olsa da, Bilgi Komiserliği Ofisi’nin çok daha az önemli kişisel veri türlerini işleyen çok daha küçük kuruluşlara karşı gerçekleştirilen siber saldırıları da inceleyeceği unutulmamalıdır. Herhangi bir kuruluş, boyutu ne olursa olsun, kendisini siber saldırılara açıkça açık bırakırsa, Bilgi Komiserliği Ofisi’ne ve Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki para cezası rejimine maruz kalmayı bekleyebilir.
Bu yaptırım eylemi aynı zamanda, Birleşik Krallık merkezli olmayan kuruluşların, Birleşik Krallık veya Avrupa Birliği’nde müşterileri olan yabancı kuruluşların Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne (ve Avrupa Birliği Genel Veri Koruma Yönetmeliği’ne[6]) ve Avrupa düzenleyici otoritelerine tabi olabileceğinin hatırlatılması amacıyla da işlev görmektedir.
[1]<https://ico.org.uk/for-organisations/data-protection-and-the-eu/data-protection-and-the-eu-in-detail/the-uk-gdpr/ > [metne, çeviren tarafından iliştirilmiştir].
[2]<https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/06/23andme-fined-for-failing-to-protect-uk-users-genetic-data/ >.
[3]<https://emlaw.co.uk/special-category-personal-data-what-is-it/ >.
[4]<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/passwords-in-online-services/ >; < https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ >.
[5] < https://www.ncsc.gov.uk/collection/mfa-for-your-corporate-online-services >.
[6] < https://gdpr-info.eu/ > [metne, çeviren tarafından iliştirilmiştir].
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.