The Law on the Protection of Personal Data and its secondary legislation is a living law that is frequently updated since its effective date. Many procedures and principles related to data protection are determined not only by the Law, Regulation and Communiqué, but also by the Board Decisions, Principle Decisions and Board Decision Summaries. Therefore, our monthly bulletins aim to inform those concerned about the practices of the Personal Data Protection Board and to keep them up-to-date.
In September 2023, six data breach notifications were published by the Board, and among the companies published, there are companies that are industry leaders.
DATA BREACH NOTIFICATIONS
Article 12/5 of the LPPD titled “Obligations regarding data security” states that “In the event that the processed personal data is obtained by others through unlawful means, the data controller shall notify the relevant person and the Board as soon as possible. If necessary, the Board may announce this situation on its website or by any other method it deems appropriate.”
In September 2023, six data breach notifications were published on the website of the Personal Data Protection Authority, www.kvkk.gov.tr.
Hotiç Ayakkabı San. ve Tic. A.Ş.
Hotiç Ayakkabı San. ve Tic. A.Ş. sent to the Board by Hotiç Ayakkabı San. ve Tic. A.Ş., as the data controller; It was reported that unauthorised persons attempted to log in to the account defined to the data controller on the permission management platform created for the SMS and e-mail messages received from the data processor on 23.06.2023 and that the violation occurred by accessing the mobile phone information of the customers. It was stated that text messages targeting phishing attack were sent to the persons whose mobile phone information was accessed, and that the number of people and records affected by the breach was 1,926,889. While it is stated that the relevant groups of people affected by the breach are customers, it is stated that the data categories are only the telephone information in the contact category of the customers.
Suzuki Motorlu Araçlar Pazarlama A.Ş.
In the data breach notification submitted to the Board by Suzuki Motorlu Araçlar Pazarlama A.Ş., which has the title of data controller, in summary; It was stated that the breach occurred when the data in the storage devices became inaccessible by encrypting the data as a result of the cyber attack on Vodatech servers and that the relevant person group, number of records and personal data categories affected by the breach have not yet been determined.
Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş.
In the data breach notification submitted to the Board by Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş., which has the title of data controller, in summary
The breach occurred when the data in the storage devices became inaccessible by encryption as a result of a cyber-attack on Vodatech servers, the breach occurred on 25.07.2023 and was detected on 31.07.2023, the data subject group affected by the breach is not yet known, the data subject group, number of records and personal data categories affected by the breach have not yet been determined.
Defacto Perakende Ticaret A.Ş.
In the data breach notification submitted to the Board by Defacto Perakende Ticaret A.Ş., which has the title of data controller, in summary
Data breach occurred after the software updates made by the data processor, from which the data controller received CDN service in order to transmit the content to the users faster, for the improvement of the services; the breach was detected on 14.09.2023 upon the notification that the customers could see personal information that did not belong to them on their profile pages; some of the 1337 customers who viewed the My Account page accessed only their own information, while others accessed information belonging to other customers; identity, contact and customer transaction data categories
that the number of people affected by this breach is estimated to be 2686.
Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş.
In the data breach notification submitted to the Board by Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş., which has the title of data controller
It was reported that the breach occurred on 15.09.2022 with a ransomware attack on the systems of the data controller on 15.09.2022, no breach notification was made since the system was accessed again through backups and it was thought that there was no data leakage, but on 18.09.2023, it was reported that some information was obtained by the attackers within the scope of threat intelligence on 18.09.2023, and it was determined that the data obtained as a result of the attack on 15.09.2022 was found on the dark web.
In this breach, where the studies to determine the number of affected persons are ongoing, but the estimated number exceeds 1000, it is stated that the affected person groups are employees, legal entity (customer, potential customer and supplier) employees, suppliers, supplier officials, and that “identity, communication, personal, legal transaction, transaction security, professional experience data” and “health information and criminal conviction and security measure data” from special categories of personal data are affected by the breach.
Elca Kozmetik Ltd. Şti.
In the data breach notification submitted to the Board by Elca Kozmetik Limited Company, which has the title of data controller, in summary;
On 30.05.2023, it was reported that the breach, which occurred as a result of the data leakage that occurred in the MOVEit software used globally by Estee Lauder group companies, in which the data controller is located, was detected on 29.09.2023.
It was stated that the data affected by the breach are name, surname, date of birth, email address, mobile phone number or landline. It is stated that the groups of people affected by the breach are customers and potential customers and the number of people affected by the breach is approximately 83,135, while the studies to determine the effects of the breach are continuing.
GRC LEGAL COMMENT
When the data breach notifications published in September are analysed, it is observed that the breaches occurred in many sectors and sizes, and in this context, administrative and technical measures for the protection of personal data should be given importance by all data controllers regardless of the nature and size of the companies.
2023 Eylül ayında Kurul tarafından altı adet veri ihlal bildirimi yayımlanmış olup yayımlanan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2023 Eylül ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede altı adet veri ihlal bildirimi yayınlanmıştır.
Hotiç Ayakkabı San. ve Tic. A.Ş.
Veri sorumlusu sıfatını haiz Hotiç Ayakkabı San. ve Tic. A.Ş. tarafından Kurul’a gönderilen kişisel veri ihlali bildiriminde özetle; Veri işleyenden alınan SMS ile e-posta gönderimleri için oluşturulan izin yönetimi platformu üzerinde veri sorumlusuna tanımlı hesaba 23.06.2023 tarihinde yetkisiz kişiler tarafında giriş yapılmaya çalışıldığı ve müşterilerin cep telefonu bilgilerine erişilerek ihlalin gerçekleştiği bildirilmiştir. Cep telefonu bilgilerine erişilen kişilere oltalama saldırısı hedefleyen kısa mesaj gönderimlerinin gerçekleştirildiği, ihlalden etkilenen kişi ve kayıt sayısının 1.926.889 olduğu bilgilerine yer verilmiştir. İhlalden etkilenen ilgili kişi gruplarının müşteriler olduğu belirtilirken, veri kategorilerinin ise yalnızca müşterilere ait iletişim kategorisinde yer alan telefon bilgisi olduğu bilgilerine yer verilmiştir.
Suzuki Motorlu Araçlar Pazarlama A.Ş.
Veri sorumlusu sıfatını haiz Suzuki Motorlu Araçlar Pazarlama A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; İhlalin Vodatech sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez duruma gelmesiyle gerçekleştiği ve ihlalden etkilenen ilgili kişi grubunun, kayıt sayısının ve kişisel veri kategorilerinin henüz tespit edilemediği bilgilerine yer verilmiştir.
Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş.
Veri sorumlusu sıfatını haiz Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
İhlalin Vodatech sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez duruma gelmesiyle gerçekleştiği, ihlalin 25.07.2023 tarihinde meydana geldiği ve 31.07.2023 tarihinde tespit edildiği, ihlalden etkilenen ilgili kişi grubunun henüz bilinmediği, ihlalden etkilenen ilgili kişi grubunun, kayıt sayısının ve kişisel veri kategorilerinin henüz tespit edilemediği bilgilerine yer verilmiştir.
Defacto Perakende Ticaret A.Ş.
Veri sorumlusu sıfatını haiz Defacto Perakende Ticaret A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
Veri sorumlusunun, içerikleri kullanıcılara daha hızlı iletmek amacıyla CDN hizmeti aldığı veri işleyenin, hizmetlerin iyileştirmesi için yaptığı yazılım güncellemeleri sonrasında veri ihlali yaşandığı, ihlalin müşterilerin profil sayfalarında kendilerine ait olmayan kişisel bilgileri görebildiğini bildirilmesi üzerine 14.09.2023 tarihinde tespit edildiği, Hesabım sayfasını görüntüleyen toplam 1337 müşteriden bazılarının yalnızca kendi bilgilerine erişim sağlarken bazılarının ise başka müşterilere ait bilgilere de eriştiği; kimlik, iletişim ve müşteri işlem veri kategorilerinde gerçekleşen
bu ihlalden etkilenen kişi sayısının 2686 olarak tahmin edildiği bilgilerine yer verilmiştir.
Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş.
Veri sorumlusu sıfatını haiz Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
İhlalin veri sorumlusu sistemlerine fidye yazılımı saldırısı yapılmasıyla 15.09.2022 tarihinde gerçekleştiği, sisteme yedekler üzerinden tekrar erişilmesi ve veri sızıntısının yaşanmadığının düşünülmesi nedeniyle ihlal bildiriminin yapılmadığı fakat 18.09.2023 tarihinde tehdit istihbaratı kapsamında saldırganlar tarafından bazı bilgilerin ele geçirildiği, internette satıldığı veya satmaya çalışıldığı bilgisinin alınması ile yapılan incelemede, 15.09.2022 tarihinde yapılan saldırı sonucu elde edilen verilerin dark web’te yer aldığının tespit edildiği bildirilmiştir.
Etkilenen kişi sayısının tespitine yönelik çalışmaların devam ettiği ancak tahmini sayının 1000’i aştığı bu ihlalde, etkilenen kişi gruplarının çalışanlar, tüzel kişi (müşteri, potansiyel müşteri ve tedarikçi) çalışanları, tedarikçiler, tedarikçi yetkilileri olduğu belirtilirken, bu kişilerin kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, mesleki deneyim verileri” ile özel nitelikli kişisel verilerden “sağlık bilgisi ve ceza mahkumiyeti ve güvenlik tedbiri verilerinin” ihlalden etkilendiğine yer verilmiştir.
Elca Kozmetik Ltd. Şti.
Veri sorumlusu sıfatını haiz Elca Kozmetik Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
30.05.2023 tarihinde veri sorumlusunun içinde bulunduğu Estee Lauder grup şirketlerinin global düzeyde kullandığı MOVEit yazılımında meydana gelen veri sızıntısı sonucunda gerçekleşen ihlalin 29.09.2023 tarihinde tespit edildiği bildirilmiştir.
İhlalden etkilenen verilerin isim, soy isim, doğum tarihi, email adresi, cep telefonu numarası veya sabit hat olduğu ifade edilmiştir. İhlalden etkilenen kişi gruplarının müşteriler ve potansiyel müşteriler olduğu ve ihlalden etkilenen kişi sayısının yaklaşık 83.135 olduğu bilgisine yer verilirken ihlalin etkilerini tespit etmek amacıyla yapılan çalışmalara devam edildiği bilgilerine yer verilmiştir.
GRC LEGAL YORUMU
Eylül ayında yayınlanan veri ihlal bildirimleri incelendiğinde, ihlallerin pek çok sektörde ve boyutta gerçekleştiği, bu kapsamda kişisel verilerin korunmasına yönelik idari ve teknik tedbirlere; şirketlerin niteliği ve büyüklüğü gözetilmeden tüm veri sorumlularınca önem atfedilmesi gerektiği gözlemlenmektedir.