KVKK BÜLTEN- EYLÜL 2024
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2024 Eylül ayında Kurul tarafından veri ihlal bildirimlerinin yanı sıra, 05.09.2024 tarihinde Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından 2025- 2027 yıllarına ait Orta Vadeli Program (“OVP”) yayımlanmıştır. OVP’de mal ve hizmet ihracatını etkileyen yönleriyle Avrupa Birliği (“AB”) dijital ekonomi düzenlemeleri doğrultusunda, Kanun’un AB Genel Veri Koruma Tüzüğü (“GDPR“) başta olmak üzere AB müktesebatına uyum sürecinin 2025 yılının 4. çeyreğine kadar tamamlanacağı belirtilmiştir.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2024 Eylül ayında Kurul internet sitesi olan kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayımlanmıştır.
İncirli Sağlık ve Sosyal Tesisler Anonim Şirketi
Veri sorumlusu sıfatını haiz olan İncirli Sağlık ve Sosyal Tesisler Anonim Şirketi tarafından Kurul’a iletilen veri ihlali bildiriminde; ihlalin, veri sorumlusunun bilişim sistemine dışarıdan müdahale edilerek kayıtlı olan tüm uygulamalar dahil tüm verilerin silinmesi, yok edilmesi ve yedeklerinin imha edilmesi şeklinde gerçekleştiği, ihlalin 14.08.2024 tarihinde başladığı, 04.09.2024 tarihinde sona erdiği, ihlalden etkilenen kişi grubunun çalışanlar ve hastalar olduğu, ihlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, sağlık bilgileri, cinsel hayat, biyometrik veri, genetik veri kategorileri olduğu bilgisi verilmiştir. Tüm kayıtların silinmesi sebebi ile veri sorumlusunda şimdiye kadar çalışmış olan tüm personel ile ayakta ve yatan hasta sayısının bilinmesinin mümkün olmadığı ancak ihlalden etkilenen kişi sayısının tahmini 1000 ve üzeri olduğu, ilgili kişilerin veri sorumlusu internet adresi ve çağrı merkezinden bilgi alabileceği ifade edilmiştir.
Kentaş Gıda Pazarlama ve Dağıtım Ticaret Limited Şirketi
Veri sorumlusu sıfatını haiz olan Kentaş Gıda Pazarlama ve Dağıtım Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde; 12.09.2024 tarihinde fidye yazılımı saldırısına maruz kalındığı ve dosyaların şifrelendiği, ihlalden muhasebe programına ait bilgilerin etkilendiği, dolayısıyla muhasebeyle ilgili fatura bilgileri ile veri sorumlusuna ait resmi defterlere, borç/alacak hesaplarına ve sistemde kayıtlı olan personel adres ve kimlik numaralarına ulaşıldığının tahmin edildiği ifade edilmiştir. İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler ile potansiyel müşteriler olduğu, ihlalden tahmini 1000 kişinin etkilendiği, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, pazarlama olduğu bilgisi verilmiştir.
GRC LEGAL Yorumu
Eylül ayında yayımlanan veri ihlal bildirimleri incelendiğinde; İncirli Sağlık ve Sosyal Tesisler Anonim Şirketi’nin bilişim sistemine dışarıdan gerçekleştirilen müdahale ile ve Kentaş Gıda Pazarlama ve Dağıtım Ticaret Limited Şirketi’ne gerçekleştirilen fidye yazılımı siber saldırısı sebebiyle veri ihlallerinin meydana geldiği görülmektedir.
Kanun uyarınca her türlü teknik ve idari tedbiri almakla yükümlü olan veri sorumlularının, bilişim sistemlerine dışarıdan gelecek herhangi bir müdahaleyi önleyici tedbirler alması kritik önem taşımaktadır. Bu kapsamda, veri sorumluları tarafından; bilişim ağlarında çalışan yazılımların kontrol edilmesi, düzenli aralıklar ile sızma testlerinin yapılması, sistem güncellemelerinin gerçekleştirilmesi, kişisel veri ve siber güvenlik farkındalığının artırılması gibi alınabilecek idari ve teknik tedbirler ile teknik zafiyetlerin mümkün mertebe önüne geçilebilecek ve veri ihlallerinin meydana gelmesi engellenebilecektir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri