KİŞİSEL VERİLERİN KORUNMASI HUKUKU
Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
Eylül ayında Kişisel Verileri Koruma Kurulu tarafından Veri İhlal Bildirimleri yayımlanmıştır.
Kurul’un 17 Eylül 2022 tarihinde gerçekleştirdiği duyuru ile 4 Ekim 2022 tarihinde Ankara’da 1. Ulusal Görsel-İşitsel Medyada Kişisel Verilerin Korunması Sempozyumu düzenleneceği belirtilmiş olup program detaylarına, soru ve önerilerin gorselisitselmedyadakvk@rtuk.gov.tr adresine iletilebileceği bilgisine yer verilmiştir.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2022 Eylül ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede altı adet veri ihlal bildirimi yayınlanmıştır.
Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı
Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafından Kurula iletilen veri ihlal bildiriminde özetle; İhlalin 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleştiği ve 30.08.2022 tarihinde tespit edildiği, zararlı yazılımlar vasıtasıyla üyelerin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandığı, yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edildiği, ihlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ait bilgiler olduğu, ihlalden yaklaşık 38.000 kaydın etkilendiği ve ihlalle ilgili çalışmaların devam etmekte olduğu bilgilerine yer verilmiştir.
Biblos Alaçatı Turizm Yatırımları A.Ş.
Veri sorumlusu sıfatını haiz olan Biblos Alaçatı Turizm Yatırımları A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle; ihlalin kaynağının fidye yazılımı saldırısı ve parola saldırısı olduğu, 19.08.2022 tarihinde başladığı, aynı tarihte veri sorumlusunun iş telefonlarına gönderilen mesajlar ve personeline gönderilen e-postalar aracılığıyla siber saldırının tespit edildiği bilgisi verilmiştir.
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem, finans, pazarlama, görsel ve işitsel kayıtlar olduğu, özel nitelikli kişisel veri kategorilerinin sağlık bilgileri ve biyometrik veriler olduğu, öte yandan insan kaynakları, ön büro ve finans departmanlarında kullanılan programlar vasıtasıyla personel bordro kayıtlarının, misafir verilerinin ve şirketin mali verilerinin ihlale maruz kalmasının ihtimal dahilinde olduğu belirtilerek henüz tespit edilemeyen veri kalemlerinin de yer aldığı görülmektedir.
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler, tahmini kişi sayısının 450 olduğu, ancak siber saldırıya uğrayan programlar ve verilerle ilgili envanter çalışmasının devam ettiği belirtilmiştir. İlgili kişilere ait verilerin siber saldırı sonucunda silinmesi nedeniyle bildirim yapılamadığı bilgilerine yer verilmiştir.
Fuudy Elektronik İletişim Perakende Gıda Lojistik A.Ş.
Veri sorumlusu sıfatını haiz olan Fuudy Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; İhlalin hangi tarihte başladığının henüz tespit edilemediği, veri sorumlusu tarafından ihlalin 12.09.2022 tarihinde tespit edildiği, veri sorumlusu kurumsal e-posta adresine ihlal iddiasına ilişkin bir e-posta gönderildiği ve e-postada yer alan kayıtların Fuudy bünyesindeki kayıtlarla eşleştiği, ihlali gerçekleştiren kişi veya kişilerin bu bilgileri nasıl elde ettiği ve ihlalin hangi yöntemle gerçekleştirildiğinin henüz tespit edilemediği, ihlalin nasıl gerçekleştiği ile ilgili tespit çalışmalarının devam ettiği belirtilmiştir.
İhlalden etkilenen kişisel verilerin sistemin test kısmında yer alan ad, soyadı, e-posta adresi, cep telefonu numarası ve adres ID’si olduğu, bu kişisel veriler arasında yer alan adres ID’sinin güncel nitelikte olmadığı, ihlalden etkilenen tahmini kişi sayısının yaklaşık olarak 81.452 olduğu, tam kişi sayısının tespitine yönelik çalışmaların devam ettiği bilgilerine yer verilmiştir.
Marmara Üniversitesi
Veri sorumlusu sıfatını haiz Marmara Üniversitesi tarafından Kurula iletilen veri ihlal bildirimlerinde özetle; 15.09.2022 tarihinde veri sorumlusunun Bilgi Yönetim Sistemi (BYS) içerisindeki SMS gönderim servisindeki yetkili kullanıcı hesabının yetkisiz bir kişi tarafından elde edilerek SMS gönderilmesi suretiyle ihlalin gerçekleştiği, hesabın yeni kullanıcı hesapları tanımlama yetkisi olduğundan 3 yeni kullanıcı hesabı tanımı yapıldığının da tespit edildiği, yetkisiz erişime konu dinamik raporlama ekranı üzerinden “toplu sms gönderimi” yapılabildiği ve üniversitede çalışan akademik ve idari personelin kimlik, iletişim ve özlük bilgilerine erişim sağlanabildiği, ihlalden etkilenen kişi sayısının 5698, kişi grubunun çalışanlar ve kullanıcılar olduğu bilgilerine yer verilmiştir. İhlal ile ilgili olarak ilgili kişilerin bilgi alabilecekleri telefon numarası ve e-posta adresi belirtilmiştir.
Özel Keystone Eğitim ve Eğitim Dan. A.Ş.
Veri sorumlusu sıfatını haiz Özel Keystone Eğitim ve Eğitim Dan. A.Ş tarafından Kurula iletilen veri ihlal bildiriminde özetle: ihlalin 22.09.2022 tarihinde gerçekleştiği ve aynı gün tespit edildiği, veri sorumlusu nezdinde çalışan eski bir öğretmenin kapatılmış e-posta adresinin açılarak, tüm okul veli ve personeline okulun muhasebe kayıtlarının, Drive’da bulunan ücret skala bilgilerinin, veli ve öğrenci isimlerinin e-posta gönderilmesi suretiyle gerçekleştiği belirtilmiştir.
İhlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, risk yönetimi, finans bilgileri ve diğer kategorilerinden oluştuğu, kişi ve kayıt sayısının henüz tespit edilemediği, ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler/üyeler, öğrenciler ve müşteriler/potansiyel müşteriler olduğu bilgilerine yer verilmiştir.
Flo Mağazacılık ve Pazarlama A.Ş.
Veri sorumlusu sıfatını haiz olan Flo Mağazacılık ve Pazarlama A.Ş. hakkında Kurumumuza iletilen ihbar sonucu yapılan değerlendirmede; veri sorumlusuna ait instreet.com.tr internet sayfasının kullanıcılarına ait kişisel verilerin herkes tarafından ulaşılabilir bir internet sayfasında yayınlandığı, ihlalden etkilenen kişisel verilerin ad, soyad, kullanıcı adı, kullanıcı şifresi ve bu kullanıcılardan 380 kişiye ait olmak üzere kredi kartı ilk 4 ve son 4 hanesiyle bu kredi kartlarının hangi bankaya ait olduğunu gösteren bilgiler olduğu, ihlalden etkilenen ilgili kişi sayısının yaklaşık 3500 kişi olabileceği tespit edilmiştir.
Kullanıcı bilgilerinin yayınlandığı internet sitesinde yer alan kişisel veri işleme faaliyetlerinin durdurulabilmesini teminen Sulh Ceza Hakimliğine müracaat edilmesine karar verilmiştir.
