KİŞİSEL VERİLERİN KORUNMASI HUKUKU
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
Ekim ayında Kişisel Verileri Koruma Kurulu tarafından Veri İhlal Bildirimleri yayımlanmıştır.
Kurul’un 19 Ekim 2022 tarihinde gerçekleştirdiği duyuru ile 44. Küresel Mahremiyet Konferansı‘nın Türkiye ev sahipliğinde gerçekleştirilecek olduğu bildirilmiştir. İlk kez 1979 yılında toplanan Global Privacy Assembly – Küresel Mahremiyet Konferansı, 130’dan fazla veri koruma otoritesinin katılımıyla her yıl bir üye ülkenin ev sahipliğinde düzenlenen geniş kapsamlı bir konferans olup temel amacı, dünyadaki veri koruma otoriteleri arasında bir forum oluşturarak bilgi ve tecrübe paylaşımı sağlamak ve ortak çalışmalar yürütmektir.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2022 Ekim ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayınlanmıştır.
Quick Sigorta Anonim Şirketi
Quick Sigorta Anonim Şirketi tarafından Kurula iletilen veri ihlal bildirimlerinde özetle; veri sorumlusunun anlaşmalı olduğu yazılım firması tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirildiği, bu kişiler tarafından çeşitli ihbar ID numaraları denenerek görsellere erişilmesi ile ihlalin gerçekleştiği belirtilmiştir.
Saldırganın sisteme giriş yapma denemelerinin 18.08.2022 tarihinde başarılı olduğu ve 21.08.2022 tarihinde veri çekme girişimlerine başladığının anlaşıldığı, programın çoğunlukla, kazaya karışmış hasarlı araçlara ait görüntülerden oluştuğu; konuya ilişkin inceleme devam etmekle birlikte, hasar dosyasında yer alan bilgiler kapsamında: (i) Sürücülerin kimlik görseli iletmesi halinde; isim, soyisim, T.C kimlik numarası, doğum yeri, doğum tarihi, anne adı, baba adı, cinsiyeti ve fotoğrafı, (ii) Sürücülerin ehliyet görseli iletmesi halinde; isim, soyisim, doğum tarihi, doğum yeri, T.C. kimlik numarası, kan grubu ve fotoğrafı, (iii) Trafik kaza tespit tutanağı kapsamında adres bilgisi bulunmaktadır.
İhlalden etkilenen ilgili kişi sayısını tespit çalışmalarının devam etmekte olduğu ve kişi grubunun müşteriler/potansiyel müşteriler ve trafik kazasına karışan taraflar olduğu bilgilerine yer verilmiştir.
Denizli Özel Egekent Hastanesi
Denizli Özel Egekent Hastanesi tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusunun 10.10.2022 tarihinde fidye yazılımı saldırısına maruz kalması sonucu sistemlerinin şifrelendiği ve hastane sistemlerine erişim sağlanamadığı, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler, öğrenciler, müşteriler, hastalar, çocuklar, korunmaya muhtaç yetişkinler; kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama bilgileri ile görsel ve işitsel kayıtlar olduğu, ihlalden etkilenen tahmini kişi sayısının 295 olduğu bilgilerine yer verilmiştir.
İnfomag Reklam ve Özel Dergi Yay. Hiz. Tic. A.Ş (Harvard Business Review / HBR Türkiye)
İnfomag Reklam ve Özel Dergi Yay. Hiz. Tic. A.Ş tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusunun web sitesine ait veri tabanında yer alan verilerin yetkisi olmayan kişiler tarafından silinmesi ile ihlalin gerçekleştiği ve yetkisiz erişilen veri tabanı klasörüne fidye mesajı bırakıldığı, ihlalin 07.09.2022 tarihinde, web sunucusu tarafından iletilen uyarı mesajı ve web editörleri tarafından iletilen siteye erişimin kesildiği yönündeki mesajlar sonucunda tespit edildiği belirtilmiştir.
İhlalden etkilenen ilgili kişi gruplarının kullanıcılar ve aboneler/üyeler, kişisel verilerin, ücretsiz üyelik oluşturan kullanıcılara ait ad, soyad, e-posta bilgileri, ücretli abonelik gerçekleştirmiş kullanıcılara ait ad, soyad, e-posta, TC kimlik numarası, adres ve telefon bilgileri olduğu, ihlalden etkilenen kişi ve kayıt sayısının belirsiz olduğu, ilgili kişilerin veri ihlali ile ilgili olarak destek@infomag.com.tr e-posta adresinden bilgi alabileceği ifadelerine yer verilmiştir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri