Zincirleme İhmallerin Bedeli: McDonald’s Polska’ya 17 Milyon PLN Ceza

Av. Begüm Beyza ÖZBALCI

10.12.2025 - 08:58 Yayınlanma

10.12.2025 - 08:58 Güncelleme

Olayın Arka Planı

McDonald’s Polska, çalışanlarının vardiya planlarını yönetmek amacıyla dış kaynak hizmeti alıyordu. Ancak, yapılan bu görevlendirme, ne teknik güvenlik önlemleriyle desteklendi ne de etkili bir denetim süreciyle kontrol edildi. Sonuç: Çalışanlara ait hassas bilgiler (pasaport numarası, vardiya saatleri vs.) herkese açık bir dizinde ifşa oldu.

Uyarı ve cezalar yalnızca McDonald’s’a değil; hizmet sağlayıcı olan 24/7 Communication şirketine de kesildi. Polonya Veri Koruma Otoritesi (UODO), bu olayda hem veri sorumlusunu hem de veri işleyeni açıkça sorumlu tuttu.

Temel Bulgular

Toplam ceza:

- McDonald’s Polska: PLN 16.9 milyon

- 24/7 Communication: PLN 183 bin

İhlalin ana nedenleri:

- Risk analizinin yapılmaması

- Yanlış yapılandırılmış sunucular nedeniyle verilerin herkese açık hâle gelmesi

- Alt işleyiciyle yasal sözleşme yapılmaması

- Veri Koruma Görevlisi (DPO)’nun sürece dâhil edilmemesi

- DPO’nun değerlendirme, seçici denetim ve kontrol süreçlerinden dışlanması

Veri işleme kapsamı aşılmıştı: Vardiya planı için yalnızca gerekli veriler toplanmalıydı. Ancak sistemde pasaport numaraları da yer alıyordu. Olaydan sonra bu veriler kimlik numarasıyla değiştirildi – bu da veri minimizasyonu ilkesinin geriye dönük olarak uygulanması anlamına geliyor.

Franchise çalışanları da unutulmadı: UODO, McDonald’s’ın yalnızca kendi çalışanlarının değil, franchise çalışanlarının verilerinin de işlenmesinden sorumlu olduğuna hükmetti. Çünkü sistemin sahibi, kullanım şekli ve işleyenin seçimi McDonald’s tarafından belirleniyordu.

Karar ve Yaptırımlar

UODO, kararında şunlara dikkat çekti:

- Veri işleme sözleşmesi, veri sorumlusunu sorumluluktan muaf tutmaz.

- Teknik ve organizasyonel önlemler bir defaya mahsus değildir; düzenli olarak güncellenmeli, denetlenmeli ve test edilmelidir.

- Alt işleyicilerle sözleşme yapılmadan veri paylaşılması açık bir GDPR ihlalidir.

- DPO’nun yalnızca ataması değil, aktif şekilde sürece dâhil edilmesi gereklidir.

Uyarılar ise yalnızca güvenlik konularına değil, iletişim süreçlerine de uzandı. McDonald’s, eski çalışanları yalnızca basın açıklamasıyla bilgilendirmişti. UODO, bunun doğrudan bildirim yükümlülüğünü karşılamadığını belirterek bu konuda ayrıca uyarı verdi.

Analiz

Bu karar, üç temel dersi açıkça ortaya koyuyor:

1. Veri işleme dışarıya devredilebilir ama sorumluluk devredilemez.

2. DPO’yu kenarda tutarsanız, kırılgan süreçleri önleyemezsiniz.

3. İyi niyet değil, risk temelli teknik ve yapısal önlemler esastır.

Okuyucularıma not: Lütfen aşağıdaki çalışmaları görüş verdiğiniz şirketler yapıyor mu teyit ediniz.

- İşleyicilerle güncel sözleşmeleriniz var mı?

- DPO, tedarikçi değerlendirmelerine katılıyor mu?

- Tüm veri işleme modüllerinde minimizasyon prensibi uygulanıyor mu?

- Sunucu yapılandırmaları bağımsız olarak test edildi mi?

Sizin yorumlarınızı merak ediyorum:

1. Sizce bu tür zincirleme ihlaller büyük kurumların veri koruma kültüründeki hangi boşluklara işaret ediyor?