Geçtiğimiz günlerde açıklanan Birleşik Krallık Veri Koruma Otoritesi (ICO) kararına göre, Heathrow Airport Limited Şirketi’ne (Şirket) kişisel verileri korumada yetersiz kaldığı için 120.000 İngiliz sterlini para cezası verildi. Karara esas olayda, içerisinde şifrelenmemiş bir şekilde 76 farklı klasör ve 1.000’den fazla dosyayı içeren bir USB Şirket çalışanı tarafından kaybedilmiştir. Belgelerde yer alan kişisel veri oranı ise oldukça azdır. Ancak USB’de yer alan bir eğitim videosu ile 10 kişinin isim, doğum tarihi, pasaport numarası ve 50’den fazla güvenlik personeline ilişkin bilgiler açığa çıkmıştır. USB’yi bulan kişi, bu belgeleri yerel bir kütüphanede incelemiştir. USB orada çoğaltılmamış ancak Şirkete geri verilmeden önce ulusal bir gazeteye verilmiş ve kopyaları çıkartılmıştır.
Kararın detayında USB’de yer alan dosyalarda yaklaşık %1’lik oranda kişisel verinin bulunduğu (özel nitelikli olanlar dahil olmak üzere) ve bu verilerin 3 saniye görüntülenebildiği belirtilmiştir. Ancak ICO, USB’de yer alan bu bilgilerin bireyler tarafından farklı yöntemlerle, örneğin ekran görüntüsü alarak kalıcı bir şekilde kaydetme veya çoğaltma riski bulunduğuna dikkat çekmiştir. Bunun yanı sıra Şirket her ne kadar ihlal sonrası önemli adımlar atsa da USB gibi kolayca çoğaltılabilecek bir belleğe kişisel verilerin onaylanmadan, şifrelenmemiş bir şekilde aktarılabilmesi bu konudaki Şirket politikasının ve teknik tedbirlerin zayıf olduğuna işaret etmektedir.
Kararda yer alan ve dikkat çeken başka bir husus ise ICO’nun, şirkette kısıtlı bir kişisel veriler hukuku eğitimi verildiğinin altını çizmesidir. Soruşturmada, Şirkette çalışan 6,500 çalışandan sadece %2’lik bir bölümünün kişisel veri hukuku eğitimi aldığı belirlenmiştir. Nitekim olaya konu olan çalışanın bu eğitimi almadığı tespit edilmiştir. Bu kapsamda kişisel verilerin yayılma riski yüksek olan bir sektörde, verilen bu eğitimin yetersiz olduğu vurgulanmıştır. Nitekim karara konu olay dikkate alındığında eğitimin yalnızca ihlal riski yüksek pozisyonlardaki çalışanlarla sınırlı tutulmaması gerektiği de belirtilmiştir.