Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2023 Eylül ayında Kurul tarafından altı adet veri ihlal bildirimi yayımlanmış olup yayımlanan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2023 Eylül ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede altı adet veri ihlal bildirimi yayınlanmıştır.
Hotiç Ayakkabı San. ve Tic. A.Ş.
Veri sorumlusu sıfatını haiz Hotiç Ayakkabı San. ve Tic. A.Ş. tarafından Kurul’a gönderilen kişisel veri ihlali bildiriminde özetle; Veri işleyenden alınan SMS ile e-posta gönderimleri için oluşturulan izin yönetimi platformu üzerinde veri sorumlusuna tanımlı hesaba 23.06.2023 tarihinde yetkisiz kişiler tarafında giriş yapılmaya çalışıldığı ve müşterilerin cep telefonu bilgilerine erişilerek ihlalin gerçekleştiği bildirilmiştir. Cep telefonu bilgilerine erişilen kişilere oltalama saldırısı hedefleyen kısa mesaj gönderimlerinin gerçekleştirildiği, ihlalden etkilenen kişi ve kayıt sayısının 1.926.889 olduğu bilgilerine yer verilmiştir. İhlalden etkilenen ilgili kişi gruplarının müşteriler olduğu belirtilirken, veri kategorilerinin ise yalnızca müşterilere ait iletişim kategorisinde yer alan telefon bilgisi olduğu bilgilerine yer verilmiştir.
Suzuki Motorlu Araçlar Pazarlama A.Ş.
Veri sorumlusu sıfatını haiz Suzuki Motorlu Araçlar Pazarlama A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; İhlalin Vodatech sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez duruma gelmesiyle gerçekleştiği ve ihlalden etkilenen ilgili kişi grubunun, kayıt sayısının ve kişisel veri kategorilerinin henüz tespit edilemediği bilgilerine yer verilmiştir.
Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş.
Veri sorumlusu sıfatını haiz Doğan Trend Otomotiv Ticaret Hizmet ve Teknoloji A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
İhlalin Vodatech sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez duruma gelmesiyle gerçekleştiği, ihlalin 25.07.2023 tarihinde meydana geldiği ve 31.07.2023 tarihinde tespit edildiği, ihlalden etkilenen ilgili kişi grubunun henüz bilinmediği, ihlalden etkilenen ilgili kişi grubunun, kayıt sayısının ve kişisel veri kategorilerinin henüz tespit edilemediği bilgilerine yer verilmiştir.
Defacto Perakende Ticaret A.Ş.
Veri sorumlusu sıfatını haiz Defacto Perakende Ticaret A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
Veri sorumlusunun, içerikleri kullanıcılara daha hızlı iletmek amacıyla CDN hizmeti aldığı veri işleyenin, hizmetlerin iyileştirmesi için yaptığı yazılım güncellemeleri sonrasında veri ihlali yaşandığı, ihlalin müşterilerin profil sayfalarında kendilerine ait olmayan kişisel bilgileri görebildiğini bildirilmesi üzerine 14.09.2023 tarihinde tespit edildiği, Hesabım sayfasını görüntüleyen toplam 1337 müşteriden bazılarının yalnızca kendi bilgilerine erişim sağlarken bazılarının ise başka müşterilere ait bilgilere de eriştiği; kimlik, iletişim ve müşteri işlem veri kategorilerinde gerçekleşen
bu ihlalden etkilenen kişi sayısının 2686 olarak tahmin edildiği bilgilerine yer verilmiştir.
Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş.
Veri sorumlusu sıfatını haiz Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
İhlalin veri sorumlusu sistemlerine fidye yazılımı saldırısı yapılmasıyla 15.09.2022 tarihinde gerçekleştiği, sisteme yedekler üzerinden tekrar erişilmesi ve veri sızıntısının yaşanmadığının düşünülmesi nedeniyle ihlal bildiriminin yapılmadığı fakat 18.09.2023 tarihinde tehdit istihbaratı kapsamında saldırganlar tarafından bazı bilgilerin ele geçirildiği, internette satıldığı veya satmaya çalışıldığı bilgisinin alınması ile yapılan incelemede, 15.09.2022 tarihinde yapılan saldırı sonucu elde edilen verilerin dark web’te yer aldığının tespit edildiği bildirilmiştir.
Etkilenen kişi sayısının tespitine yönelik çalışmaların devam ettiği ancak tahmini sayının 1000’i aştığı bu ihlalde, etkilenen kişi gruplarının çalışanlar, tüzel kişi (müşteri, potansiyel müşteri ve tedarikçi) çalışanları, tedarikçiler, tedarikçi yetkilileri olduğu belirtilirken, bu kişilerin kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, mesleki deneyim verileri” ile özel nitelikli kişisel verilerden “sağlık bilgisi ve ceza mahkumiyeti ve güvenlik tedbiri verilerinin” ihlalden etkilendiğine yer verilmiştir.
Elca Kozmetik Ltd. Şti.
Veri sorumlusu sıfatını haiz Elca Kozmetik Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;
30.05.2023 tarihinde veri sorumlusunun içinde bulunduğu Estee Lauder grup şirketlerinin global düzeyde kullandığı MOVEit yazılımında meydana gelen veri sızıntısı sonucunda gerçekleşen ihlalin 29.09.2023 tarihinde tespit edildiği bildirilmiştir.
İhlalden etkilenen verilerin isim, soy isim, doğum tarihi, email adresi, cep telefonu numarası veya sabit hat olduğu ifade edilmiştir. İhlalden etkilenen kişi gruplarının müşteriler ve potansiyel müşteriler olduğu ve ihlalden etkilenen kişi sayısının yaklaşık 83.135 olduğu bilgisine yer verilirken ihlalin etkilerini tespit etmek amacıyla yapılan çalışmalara devam edildiği bilgilerine yer verilmiştir.
GRC LEGAL YORUMU
Eylül ayında yayınlanan veri ihlal bildirimleri incelendiğinde, ihlallerin pek çok sektörde ve boyutta gerçekleştiği, bu kapsamda kişisel verilerin korunmasına yönelik idari ve teknik tedbirlere; şirketlerin niteliği ve büyüklüğü gözetilmeden tüm veri sorumlularınca önem atfedilmesi gerektiği gözlemlenmektedir.
