KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Haziran ayında Kurul tarafından dört adet veri ihlal bildirimleri yayımlanmış olup yayımlanan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Haziran ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede dört adet veri ihlal bildirimi yayınlanmıştır.

OSDS Su Arıtma Sistemleri San. Tic. Ltd. Şti

Veri sorumlusu sıfatını haiz OSDS Su Arıtma Sistemleri San. Tic. Ltd. Şti tarafından Kurula iletilen veri ihlal bildiriminde özetle:

Veri sorumlusunun müşterilerine, dolandırıcılık amaçlı olduğu düşünülen ve bir link içeren SMS gönderildiği; söz konusu SMS’lerin gönderim tarihlerinin 26-27 Mayıs 2023 olduğu, MAS GSM Haberleşme A.Ş.’nin veri sorumlusunun veri işleyeni pozisyonunda olduğu, Yetkisiz kişiler tarafından 45.228 adet SMS gönderildiği ve SMS gönderilen numaraların birçoğunun veri sorumlusu müşterisi olduğu ifade edilmiştir.

İhlalden etkilenen kişisel verilerin iletişim, lokasyon, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, pazarlama ve ceza mahkumiyeti ve güvenlik tedbirleri olduğu, ihlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu bilgilerine yer verilmiştir.

Bilge Adam Yazılım ve Teknoloji A.Ş.                                

“Zincir en zayıf halkası kadar güçlüdür”

Veri sorumlusuna karşı gerçekleştirilen oltalama saldırısı neticesinde veri sorumlusunun 3 personelinin bilgisayarına erişildiği ve bu bilgisayarların fidye yazılımı ile şifrelendiği, yetkisiz erişim sağlanan bilgisayarlarda çalışan ve çalışan adaylarına ait verilerin tutulduğu, ihlalden etkilenen kişisel verilerin ad, soyad, TC kimlik numarası ve işyeri sicil numarası olduğu, ihlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, ilgili kişilerin çağrı merkezi ve e-posta aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.

Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi

Veri sorumlusu sıfatını haiz olan Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; ihlalin veri sorumlusunun anlaşmalı olduğu bir şirkete siber saldırı düzenlenmesi neticesinde gerçekleştiği belirtilmiştir.

Söz konusu siber saldırı sonucu verilere ulaşılamadığı, ihlalden etkilenen kişi sayısının tam olarak bilinmediği, ihlalden etkilenen ilgili kişi gruplarının henüz bilinmediği, ihlalden özlük bilgileri ile özel nitelikli kişisel verilerden olan sağlık verilerinin etkilendiği bilgilerine yer verilmiştir.

Arçelik A.Ş.

Veri sorumlusunun Arçelik Bizbize mobil uygulama ve internet sitesinin barındırıldığı tedarikçi sistemlerinde tespit edilen bir güvenlik zafiyeti dolayısıyla kişisel verilere yetkisiz erişim sağlandığı, ilgili sistemlerin kod ve mülkiyet sahipliğinin veri işleyende bulunduğu, veri sorumlusunun yalnızca kullanım imkanına sahip olduğu bir modelle hizmet aldığı, yetkisiz kişiler tarafından admin paneline erişim sağlandığı ve Almanya’da görünen bir IP adresine kişisel verilerin alındığının tespit edildiği ifade edilmiştir.

İhlalden etkilenen ilgili kişi gruplarının bayi ve yetkili servis çalışanları olduğu, ihlalden etkilenen kişisel verilerin kimlik, iletişim, işlem güvenliği kodu ve diğer (sistem kapsamında, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla beraber çalışmakta olduğu bayi ve mağazasının kodu, adı ve adresi) olduğu, ihlalden etkilenen ilgili kişi sayısının tahmini 30.373 kişi olduğu ve ilgili kişilerin veri sorumlusunun başvuru panelinden bilgi alabilecekleri bilgilerine yer verilmiştir.

GRC LEGAL Yorumu

Özlük dosyası içeriğinde yer alan sağlık bilgileri ihtiva eden belgelerin özlük dosyasından ayrı tutulmasının önemini yansıtmakta olan bir ihlal bildirimi görmekteyiz.