KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

Kasım ayında Kişisel Verileri Koruma Kurulu tarafından Veri İhlal Bildirimleri yayımlanmıştır.

Kurul’un çalışmalarına başladığı tarih olan Ocak 2017’den, Nisan 2022 tarihine kadar gerçekleştirdiği kurumsal faaliyetlerin genel başlıklar altında derlendiği, “5. Yılında Kişisel Verileri Koruma Kurumu” yayını, kamuoyunun bilgisine sunulmuştur.

222 sayfadan oluşan “5. Yılında Kişisel Verileri Koruma Kurumu” yayınında, kurumsal gelişim sürecine, mevzuata ve ikincil düzenlemelere, bugüne kadar gerçekleştirilmiş kamuoyu duyurularına, il bazında gerçekleştirilen farkındalık toplantılarına, kongre, çalıştay, panel ve seminerlere, işbirliği protokollerine, projeler ve yarışmalara, sosyal medya ve basın faaliyetlerine yer verilmektedir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2022 Kasım ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede altı adet veri ihlal bildirimi yayınlanmıştır.

Baykar Motorlu Araçlar A.Ş.

Baykar Motorlu Araçlar Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; veri ihlalinin 14.10.2022 tarihinde gerçekleştirilen siber saldırı neticesinde gerçekleştiği ve sistemlerin kullanımının engellendiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler/potansiyel müşteriler olduğu bildirilmiştir.

İhlal bildiriminde ek olarak, İhlalden etkilenen kişisel veri kategorilerinin, kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, görsel işitsel kayıtlar ile özel nitelikli kişisel veri kategorileri içerisinden sağlık ile ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, kişi sayısının ise henüz tespit edilemediği bilgilerine yer verilmiştir.

Aktif İnşaat Taşımacılık Pazarlama Sanayi ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz Aktif İnşaat Taşımacılık Pazarlama San. ve Tic. A.Ş. tarafından Kurul’a intikal eden veri ihlal bildiriminde özetle; Şirketin 28.10.2022 tarihinde siber saldırıya maruz kaldığı, veri sorumlusu bünyesindeki yazılımların çalışmaması üzerine ihlalin aynı gün içerisinde tespit edildiği ve sunucularda yer alan muhasebe, insan kaynakları ve müşteri kayıtlarına dair verilerin ve programların silindiği bildirilmiştir.

İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkumiyeti ve güvenlik tedbirleri olduğu belirtilirken ihlalden etkilenen kişi gruplarının da çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçiler olduğu, etkilenen kişi sayısının ise henüz tespit edilemediği bilgilerine yer verilmiştir.

AES Otelcilik Turizm ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz olan AES Otelcilik Turizm ve Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 28.10.2022 tarihinde gerçekleşen siber saldırı ile gerçekleştiği, veri sorumlusu bünyesindeki yazılımların çalışmaması üzerine yapılan inceleme sonucunda aynı gün tespit edildiği ve sunucudaki muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği bilgilerine yer verilmiştir.

İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkumiyeti ve güvenlik tedbirleri olduğu, ihlalden etkilenen kişi sayısı henüz tespit edilememekle birlikte kişi gruplarının çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçiler olduğu bildirilmiştir.

Aliza Otelcilik Turizm ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz Aliza Otelcilik Turizm ve Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildirimlerinde özetle; 28.10.2022 tarihinde gerçekleşen siber saldırı nedeniyle sunucudaki muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği, veri sorumlusu bünyesindeki yazılımların çalışmaması üzerine yapılan inceleme sonucunda aynı gün tespit edildiği ancak ihlalden etkilenen kişi sayısının henüz bilinemediği bilgilerine yer verilmiştir.

İhlal bildiriminde ihlalden etkilenen kişisel veri kategorileri kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkumiyeti ve güvenlik tedbirleri olarak yer alırken kişi grupları da çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçiler olarak bildirilmiştir.

Pamukkale Belediyesi

Veri sorumlusu sıfatını haiz Pamukkale Belediyesi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle: 18.11.2022 tarihinde veri sorumlusuna ait internet sitesine SQL (Structured Query Language) saldırısında bulunulduğu, USOM (Ulusal Siber Olaylara Müdahale Merkezi)bünyesinde yürütülen tehdit istihbaratı faaliyetleri kapsamında, veri sorumlusuna ait olduğu değerlendirilen bazı bilgilerin saldırganlar tarafından internette çeşitli forum sitelerinde yayınlandığının tespit edildiği ve SOME (Siber Olaylara Müdahale Ekipleri)tarafından iletilen uyarı ve bilgilendirme mesajı ile ihlalden haberdar olunduğu belirtilmiştir.

*SQL, Türkçe’de karşılığını Yapılandırılmış Sorgu Dili olarak bulan, veriyi farklı boyut ve fonksiyonlarda barındırabilen veri tabanı yönetim sistemine verilen isimdir.

İhlal sebebiyle öğrenci ve esnafların web sitesi veri tabanında bulunan burs ve esnaf yardımı tablolarında yer alan T.C. kimlik numarası, adres, iletişim bilgileri, ad ve soyad verilerinin sızma ihtimalinden şüphelenildiği, ihlalden etkilenen kişi sayısının da 11.000 olduğu bilgilerine yer verilmiştir.

Shangai Moonton Technology Co. Ltd.

Veri sorumlusu sıfatını haiz olan Shangai Moonton Technology Co. Ltd. ya da bilinen adıyla Moonton Games hakkında Kurul’a iletilen veri ihlal bildiriminde; Veri sorumlusunun işletmekte olduğu Mobile Legends isimli oyun ile ilgili tartışma forum sitesine üye olan kullanıcılara ait verilerin bir internet sitesinde paylaşılması sonucu veri ihlalinin meydana geldiği, ihlalin 12.09.2022’de başlayarak 15.09.2022’de sona erdiği ve 03.11.2022 tarihinde tespit edildiği bildirilmiştir.

Yapılan bildirimde veri ihlalinden 3.375 kullanıcı ve forum sitesi üyesine ait kimlik, iletişim (e-posta) ve işlem güvenliği veri kategorilerinde yer alan bilgilerin ve kullanıcı kimliği, kullanıcı adı, alan ziyaretleri, cinsiyet, kullanılan alan, puanlar, itibar, varlık, katkı puanı, kayıt tarihi, son ziyaret zamanı, kayıt sırasında kullanılan IP, son ziyaret IP’si ve son etkinlik zamanı gibi diğer kişisel verilerin etkilendiği bilgilerine yer verilmiştir.