KVKK BÜLTEN- MAYIS 2024

Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2024 Mayıs ayında Kurul tarafından; veri ihlal bildirimlerinin yanı sıra, Bosch Termoteknik Isıtma ve Klima Sanayi ve Ticaret Anonim Şirketi ile Huawei Telekomünikasyon Dış Ticaret Limited Şirketi’ne ait taahhütname duyurusu yayımlanmıştır. Ek olarak; Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, 1 Eylül tarihinde yürürlüğe girecek olan yeni Kanun maddeleri kapsamında “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanarak kamuoyunun görüşlerine sunulmuştur. Bunun üzerine Kurul’un 16/5/2024 tarihli ve 2024/763 sayılı Kararı ile, Kanun’un 9/4 maddesi uyarınca kişisel verilerin yurt dışına aktarılması bakımından uygun güvence sağlama yöntemleri olarak öngörülen Standart Sözleşme ve Bağlayıcı Şirket Kurallarına ilişkin taslak dokümanlar yayımlanmıştır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2024 Mayıs ayında Kurul internet sitesi olan kvkk.gov.tr alan adlı sitede otuz yedi adet veri ihlal bildirimi yayımlanmıştır.

Alexion İlaç Ticaret Limited Şirketi

Veri sorumlusu sıfatını haiz Alexion İlaç Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 13.02.2024-21.02.2024 tarihleri arasında gerçekleştiği ve 05.05.2024 tarihinde tespit edildiği, veri sorumlusunun klinik araştırmalar için hizmet aldığı eClinical Solutions LLC’nin (veri işleyen) sistemlerine siber saldırı düzenlendiği, veri işleyenin sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırıldığının tespit edildiği belirtilmiştir. İhlalden etkilenen ilgili kişi gruplarının; sorumlu araştırmacılar, araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler ile klinik araştırma katılımcıları/gönüllüleri olduğu, ihlalden, 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişinin etkilendiği belirtilmiştir. İhlalden etkilenen kişisel verilerin; klinik araştırmaya katılan katılımcılar/gönüllüler için (tamamı “pseudonym (takma adlaştırılarak/kodlanarak)” olmak üzere); katılımcı kimliği (anahtar kodlu tanımlayıcı), çalışma adı, durum, açık rıza tarihi, ekran arıza tarihi, rastgele tarih, kol/kohort/startifikasyon, ilk doz tarihi, güncel doz tarihi, son doz tarihi, en son ziyaret tarihi, yeniden tarama sayısı, önceki katılımcı kimliği, yaş, cinsiyet, ırk, etnik köken, rastgeleleştirilmiş dönem sonu, tedavinin durdurulma nedeni, tedavinin durdurulduğu tarih, çalışmanın durdurulma nedeni, çalışmanın durdurulduğu tarih, tamamlanan çalışma, çalışmanın tamamlanma tarihi, ölüm tarihi, SDVTier, katılımcı kimliği, doğum yılı, laboratuvar sonuçları, aralık içerisinde değeri, laboratuvar tarihi, kullanılan ilaçlar, tıbbi geçmiş bilgileri olduğu, sorumlu araştırmacılar, araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler için; saha personeli bilgileri, UserOID, giriş adı, ekran adı, tam ad, kullanıcı rolü, ülke, kurumsal iletişim bilgileri (adres, e-posta, faks, telefon, lisans numarası) olduğu bilgisi verilmiştir.

Pınar Tekstil Tuh. İnş. ve Paz. Tic. Limited Şirketi

Veri sorumlusu sıfatını haiz Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 23.04.2024-25.04.2024 tarihleri arasında gerçekleştiği ve 24.04.2024 tarihinde tespit edildiği, veri sorumlusunun kullandığı sisteme bir admin hesabının kullanıcı bilgilerini ele geçiren siber saldırgan tarafından erişilmesi sonucunda ihlalin meydana geldiği, ihlalden etkilenen kişisel veri kategorilerinin; kimlik (ad, soyadı), iletişim (cep telefonu numarası, e-posta adresi) ve müşteri işlem (gerçek ve tüzel kişilerin alışveriş geçmişi) bilgileri olduğu belirtilmiştir. İhlalden etkilenen kişi sayısının 36.956 olduğu, ihlalden etkilenen ilgili kişi grubunun müşteriler olduğu ve ilgili kişilerin, veri sorumlusunun web sitesi (b2b.pinartekstil.com.tr) ve 0850 241 76 70 numaralı telefon aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgisi verilmiştir.

Abi International Dış Ticaret Limited Şirketi, Hamra Global Dış Ticaret ve Sanayi Limited Şirketi, Titiz Bebek ve Sağlık Ürünleri Anonim Şirketi, Akıl Plastik Sanayi ve Ticaret Limited Şirketi, Titiz Gayrimenkul Yatırım ve İnşaat Sanayi Ticaret Anonim Şirketi, Karcam Plastik ve Cam Sanayi Ticaret Limited Şirketi

Veri sorumlusu sıfatını haiz Şirketler tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; bir siber saldırı sonucunda ihlalin gerçekleştiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, ihlalin 13.04.2024 tarihinde başladığı ve 22.04.2024 tarihinde tespit edildiği ifade edilmiştir. İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, ihlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu belirtilmiştir.

Veri İşleyen Tekrom Teknoloji Anonim Şirketi’nden Hizmet Alan Veri Sorumlularının Veri İhlali Bildirimleri

Veri Sorumlusu Adı

Tahmini Etkilenen Kişi Sayısı

Agadigital Elektronik Mağazacılık ve Tic. A.Ş.

4.235

Kervan Tekstil San. ve Dış Tic. A.Ş.

3 (Kayıt Sayısı 13.873)

Sezer Plastik Kalıpsan.ve Tic. Ltd. Şti

5.000

Tesbihci Baba Değerli Taşlar Ltd. Şti.

65.536

Ser Dayanıklı Tüketim Malları İç ve Dış Tic. San. A.Ş.

9.300

Tepe Home Mobilya ve Dekorasyon Ürünleri San. Tic. A.Ş.

39.973

Acar Züccaciye Dış Tic. Ltd. Şti.

17.330

Alkan Kardeşler Elektrik Sanayi ve Tic. A.Ş.

800

AYS Ayshan Moda Tekstil Sanayi ve Dış Tic. Ltd. Şti.

50.000-100.000 arası

Aytek Giyim San. ve Tic. Ltd. Şti.

1.404

Dayne Sağlık Ürünleri Ltd. Şti.

40.770

Dermo Grup İnt. Mağ. San. ve Tic. A.Ş.

Bilinmiyor

Hacı Şerif Gıda İth. İhr. San. ve Tic. Ltd. Şti.

Bilinmiyor

Hedef Dağıtım Kozmetik Tic. A.Ş.

Bilinmiyor

Hobiyün İplik San. Tic. Paz. Ltd. Şti.

Bilinmiyor

Mib Mağazacılık Tic. A.Ş.

77.310

Novastore Hazır Giyim ve Mağazacılık A.Ş.

8.694

Robolink Teknoloji Elektronik Medikal Mühendislik İnşaat Danışmanlık Yazılım Sanayi ve Tic. Ltd. Şti.

90.000

Sarar Büyük Mağazacılık Ticaret A.Ş.

Bilinmiyor

Setre Konfeksiyon Tekstil Kuyumculuk Sağlık Ürünleri Sanayi ve Ticaret A.Ş.

29.997

GIZIA Moda Tekstil Sanayi ve Dış Ticaret Ltd. Şti.

Bilinmiyor

Age Mutfak Eşyaları Ticaret A.Ş.

298.906

Aslan Ticaret Dayanıklı Tüketim Malları Ltd. Şti.

Bilinmiyor

BYM Fashion Tekstil Sanayi Ticaret Ltd. Şti

11.177

Express Sanal Mağazacılık Anonim Şirketi

Bilinmiyor

Veri işleyen konumundaki Tekrom Teknoloji Anonim Şirketi (“T-Soft“) tarafından veri sorumlularına sağlanan yönetim paneline sızılması yöntemi ile veri sorumluları nezdindeki verilerin ele geçirildiği, ihlalin siber saldırgan tarafından veri sorumlusu sistemlerinde kayıtlı kullanıcı adı ve şifresinin elde edilerek kullanıcılara ait verilerin ele geçirilmesi neticesinde gerçekleştiği belirtilmiştir. Veri sorumlularının T-Soft’tan E-Ticaret altyapısı ile ilgili hizmet aldığı, ihlalin her bir veri sorumlusu tarafından farklı tarihlerde tespit edilmiş olmasıyla birlikte, gelen bildirimlerden ihlalin genel olarak 20 Nisan 2024 tarihinden sonra tespit edildiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler, müşteriler olmak üzere veri sorumluları açısından farklılık arz ettiği, ortak etkilenen ilgili kişi grubunun ise müşteriler olduğu anlaşılmıştır.

Aker Mağazacılık Tekstil Ticaret ve Sanayi Anonim Şirketi

Veri sorumlusu sıfatını haiz Aker Mağazacılık Tekstil Ticaret ve Sanayi Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin başlama tarihinin bilinmediği, 24.04.2024 tarihinde sona erdiği, veri sorumlusunun, 2021 yılından bu yana T-Soft (veri işleyen) uygulama yazılımı üzerinden hizmet aldığı belirtilmiştir. Bir siber saldırganın, veri sorumlusunun kullandığı T-Soft uygulamasındaki üyelerin verilerini (e-posta adresi/şifreler dahil) ele geçirdiğine dair veri sorumlusuna bir mesaj gönderdiği ve bu mesajın bir veri sorumlusu çalışanı tarafından görülmesi üzerine ihlalin 24.04.2024 tarihinde tespit edildiği belirtilmiştir. İhlalden etkilenen ilgili kişi gruplarının; çalışanlar ve müşteriler olduğu, ihlalden 8’i çalışan olmak üzere yaklaşık 25.735 kişinin etkilendiği, ihlalden etkilenen kişisel veri kategorilerinin; çalışanlar için kimlik (ad, soyadı), iletişim (e-posta adresi, cep telefonu numarası), müşteriler için kimlik (ad, soyadı, TCKN), iletişim (e-posta adresi, cep telefonu numarası), işlem güvenliği ve müşteri işlem bilgileri olduğu, İlgili kişilerin; veri sorumlusunun web sitesi (www.aker.com.tr), Aker Mağazacılık Çağrı Merkezi (444 25 37) ve veri sorumlusunun e-posta adresi (destek@aker.com.tr) aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgisi verilmiştir.

Lizay Kuyumculuk Ticaret Anonim Şirketi

Veri sorumlusu sıfatını haiz Lizay Kuyumculuk Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 20.04.2024 tarihinde başladığı ve aynı gün tespit edildiği, veri sorumlusunun T-Soft’tan e-ticaret altyapısı hizmeti almakta olduğu ve T-Soft tarafından sağlanan yönetim paneline sızılması ile veri sorumlusu nezdindeki verilerin ele geçirildiği, ihlalin veri sorumlusu sistemlerinde kayıtlı bir kullanıcı adı ve şifresinin elde edilerek sistemde kayıtlı diğer kullanıcılara ait verilerin ele geçirilmesi neticesinde gerçekleştiği, siber saldırganın veri sorumlusuna gönderdiği e-posta ile ihlalin tespit edildiği belirtilmiştir. İhlalden etkilenen ilgili kişi gruplarının; aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen kişi sayısının 34.602 olduğu ve ihlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim ve lokasyon olduğu bilgisi verilmiştir.

Asimetrik Ses Işık ve Görüntü Sistemleri Anonim Şirketi

Veri sorumlusu sıfatını haiz Asimetrik Ses Işık ve Görüntü Sistemleri A.Ş tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 23.04.2024 tarihinde başladığı ve aynı gün tespit edildiği, veri işleyen konumundaki T-Soft tarafından sağlanan yönetim paneline sızılması yöntemiyle verilerin ele geçirildiği ve ihlalin, siber saldırganın veri sorumlusu sisteminde kayıtlı bir kullanıcı adı ve şifreyi elde ederek sistemde kayıtlı diğer kullanıcılara ait verileri ele geçirmesi neticesinde gerçekleştiğinin düşünüldüğü belirtilmiştir. İhlalden etkilenen kişi sayısının 26.968 olduğu, ihlalden etkilenen ilgili kişi grubunun; müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen kişisel verilerin; ad, soyadı, adres, doğru girilmiş ise T.C. Kimlik numaraları, telefon numaraları, müşterilerin paylaşmış olmaları halinde doğum tarihi, mail adresi, müşterilerin son sipariş bilgilerinin olduğu bilgisi verilmiştir.

Taahhütname Başvurusu Hakkında Duyurular

Bosch Termoteknik Isıtma ve Klima Sanayi ve Ticaret Anonim Şirketi tarafından, 15.02.2024 tarihinde Kurum’a sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanun’un 9/2-b maddesi kapsamında değerlendirilmiş ve usul ve esasa dair herhangi bir eksikliğin bulunmadığı görülmüştür. 02.05.2024 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

Huawei Telekomünikasyon Dış Ticaret Limited Şirketi tarafından, Kurum’a sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanun’un 9/2-b maddesi kapsamında değerlendirilmiş ve usul ve esasa dair herhangi bir eksikliğin bulunmadığı görülmüş olup 28.05.2024 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

Böylelikle Kanun’un sekizinci yürürlük yılı itibarıyla Türkiye’den yurt dışına kişisel veri aktarımı onaylanan şirket sayısı 10’a yükselmiştir.

GRC LEGAL Yorumu: Mayıs ayında yayımlanan veri ihlal bildirimleri incelendiğinde, söz konusu ihlallerin güvenlik açıkları sebebiyle siber saldırılar ve veri işleyen bünyesinde meydana gelen ihlal neticesinde gerçekleştiği görülmektedir. Özellikle T-Soft yazılım şirketinden hizmet alınması sonucunda birçok veri sorumlusu şirketin veri ihlaline uğradığı, Kurul’un internet sitesinde unvanlarının ilan edildiği görülmüştür. Bunun yanı sıra, söz konusu şirketlerin müşterilerinin yanı sıra pek çok ilgili kişi grubunun da ihlallerden etkilendiği gözlemlenmektedir.

Veri sorumluları, Kanun uyarınca veri güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdürler.  Günümüzde piyasasında oldukça bilinir ve güçlü şirketlerin dahi siber saldırılara maruz kaldıkları göz önünde bulundurulduğunda, veri sorumlularının sürekli gelişen ve değişen teknolojiye ayak uydurarak alt yapılarını güvenli bir şekilde kurgulamaları olası veri ihlallerini engellemek adına önem arz etmektedir. Buna ek olarak, veri sorumluları ve veri işleyenlere getirilen müşterek sorumluluk kapsamında rücu ilişkisinin yürütülebilmesi adına birtakım sözleşmesel ek aksiyonların alınması elzemdir.

Yazar Hakkında