KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2022 Mart ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayınlanmıştır.

Yonca Sağlık Hizmetleri Ltd. Şti.

Veri sorumlusu sıfatını haiz Yonca Sağlık Hizmetleri Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusu sistemlerine siber bir saldırı gerçekleştirildiği, gerçekleştirilen saldırının tipik Ransomware, dDos, vb. gibi bir saldırı olmadığı, saldırı tipinin tespiti için incelemelerin devam ettiği, ihlalin 15 Mart 2022 tarihinde başladığı ve 16 Mart 2022 tarihinde tespit edildiği, ihlalin veri sorumlusu bünyesinde bilgi işlem müdürü olarak çalışan personele iletilen bir e-posta ile öğrenildiği belirtilmiştir.

Saldırganın bir metin dosyası halinde tüm klasörlerin listesini veri sorumlusuna iletmek suretiyle veritabanı ve birçok dokümanı ele geçirdiğini belgelediği, saldırgan kişi veya kişilerin, klasörlerin içeriğine erişebilip erişemediği konusunda danışmanlık şirketi tarafından incelemenin devam ettiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar, tahmini kişi sayısının 500.000 ve tahmini kayıt sayısının 2.500.000 olduğu, ihlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, finans, mesleki deneyim, pazarlama bilgileri olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler ile genetik veri olduğu, bilgilerine yer verilmiştir.

Martı İleri Teknoloji A.Ş.

Veri sorumlusu tarafından Kuruma iletilen veri ihlal bildiriminde özetle; veri sorumlusu sistemlerine yetkisiz kişi/kişiler tarafından erişilmesi suretiyle veri ihlalinin gerçekleştiği, ihlalin yetkisiz erişen kişi/kişiler tarafından iletilen e-posta üzerine 27.02.2022 tarihinde tespit edildiği, ihlalden etkilenen ilgili kişi grupları ve kişi sayısının, kişisel veri kategorilerinin henüz belirlenemediği, ihlalin kaynağı ve gerçekleşme yöntemine ilişkin araştırmaların devam ettiği bilgilerine yer verilmiştir.