KVKK BÜLTEN- MAYIS 2025
Kişisel Verilerin Korunması Hukuku, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ve ikincil düzenlemeleriyle birlikte sürekli gelişen ve güncellenen bir hukuk alanıdır. Bu alandaki uygulamalar yalnızca Kanun ve ilgili yönetmeliklerle sınırlı kalmayıp; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları, ilke kararları ve karar özetleriyle şekillenmekte ve somutlaşmaktadır. Bu kapsamda, ilgili ay bazında hazırlanan KVKK Bültenleri, veri koruma alanındaki güncel gelişmeleri takip etmek isteyenler için bir kaynak niteliği taşımakta, güncelliği sağlamayı ve ilgilileri bilgilendirmeyi amaçlamaktadır.
2025 Mayıs ayında Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesi olan www.kvkk.gov.tr alan adlı sitede 4 adet veri ihlal bildirimi yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
KVKK madde 12/5 uyarınca, işlenen kişisel verilerin hukuka aykırı yollarla üçüncü kişiler tarafından elde edilmesi hâlinde; veri sorumlusu, bu durumu ilgili kişiye ve Kurul’a ivedilikle bildirmekle yükümlüdür. Anılan hüküm çerçevesinde; Kurul, gerekli görmesi hâlinde söz konusu veri ihlalini kendi internet sitesi aracılığıyla veya uygun göreceği başka yöntemlerle kamuoyuna ilan edebilmektedir. İşbu düzenleme, veri ihlallerinin etkin şekilde yönetilmesini ve ilgili kişilerin zamanında bilgilendirilmesini teminen getirilmiştir.
Tourama Tourism Seyahat ve Ticaret Anonim Şirketi
Veri sorumlusu sıfatını haiz Tourama Tourism Seyahat ve Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre, ihlal 29.04.2025 tarihinde gerçekleşmiş ve aynı gün tespit edilmiştir. İhlal, veri sorumlusuna ait bir web uygulamasındaki güvenlik açığından faydalanılması sonucu, otellere bilgi amaçlı gönderilen e-postalara yetkisiz erişim sağlanmasıyla meydana gelmiş, yetkisiz bir kişinin sisteme sızdığına dair veri sorumlusuna gönderdiği bir e-posta ile tespit edilmiştir. Yapılan incelemelerde, ihlalden etkilenen kişisel verilerin ad ve soyadı bilgileri olduğu belirlenmiştir. İhlalden etkilenen kişi ve kayıt sayısının tam olarak tespit edilemediği bildirilmiş olup yapılan incelemelerde, e-posta sunucusunda bulunan dosyaların bir kısmının yetkisiz şekilde dışarı sızdırıldığı ve yaklaşık 8.200 kişinin ad ve soyadı bilgisinin yer aldığının tahmin edildiği belirtilmiştir.
Atakaş Çelik Sanayi ve Ticaret A.Ş. ve Atakaş Liman İşletmeciliği ve Ticaret A.Ş.
Veri sorumlusu sıfatını haiz Atakaş Çelik Sanayi ve Ticaret A.Ş. ile Atakaş Liman İşletmeciliği ve Ticaret A.Ş. tarafından Kurul’a iletilen veri ihlali bildirimlerinde, bazı çalışanlar ile eski çalışanlara ait kimlik ve iletişim bilgilerini içeren tehdit ve şantaj içerikli e-postaların alındığı ifade edilmiştir. Söz konusu e-postalar ilk etapta güvenlik duvarı tarafından engellendiği için geç fark edildiği belirtilmiş; 08.05.2025 tarihinde gönderilen bir e-postada yer alan bağlantıya tıklanması sonucunda çalışanlara ait fotoğraf, kimlik, adres, anne adı ve baba adı gibi bilgilerin yer aldığı tespit edilmiştir. Gerçekleştirilen incelemelerde, 03.05.2025 tarihinden itibaren sistemde yetkisiz erişimlerin bulunduğu log kayıtlarından anlaşılmıştır. İhlalden etkilenen kişi grubunun mevcut ve eski çalışanlar olduğu, Atakaş Çelik Sanayi ve Ticaret A.Ş. için yaklaşık 1080, Atakaş Liman İşletmeciliği ve Ticaret A.Ş. için yaklaşık 135 kişinin bu ihlalden etkilendiği bildirilmiştir. İhlal kapsamında sızdırılan kişisel verilerin; ad, soyadı, vesikalık fotoğraf, telefon numarası, doğum tarihi, e-posta adresi, anne adı, baba adı, adres bilgisi, medeni hal, cinsiyet, işe giriş tarihi, görev ve şirket bilgileri olduğu belirtilmiştir.
Christian Dior Couture SA
Veri sorumlusu sıfatını haiz Christian Dior Couture SA tarafından Kurul’a iletilen veri ihlali bildiriminde, 26 Ocak 2025 tarihinde veri sorumlusunun küresel CRM veri tabanında tutulan aktif, pasif ve potansiyel müşterilere ait kişisel verilere yetkisiz erişim gerçekleştirildiği, kötü niyetli yetkisiz kişinin dışarı aktardığı verileri ifşa etmekle tehdit ederek fidye talebinde bulunduğu belirtilmiştir. İhlalden etkilenen ilgili kişi grubunun müşteriler, potansiyel müşteriler, satış danışmanları ve müşteri asistanları olduğu, ancak etkilenen kişi sayısının henüz tespit edilemediği ifade edilmiştir. İhlal kapsamında; ad, cinsiyet, doğum tarihi, yaş, posta veya e-posta adresi, sabit hat veya cep telefonu numarası, şifre, müşteri numarası, pasaport bilgileri, kimlik belgeleri, genel tercih verileri (yeme-içme, etkinlikler, hobiler vb.), satın alma geçmişi verileri (segmentler, nihai parasal tutar vb.), satın alma tercihi ve ölçü verileri (renk, beden, ölçüler vb.), meslek bilgisi, dolandırıcılık şüphesi ve uluslararası yaptırımlar kapsamındaki numaralar, bazı ülkelerde yasal olarak talep edilen vergi numarası, imza ve müşteri hizmetleri personeline ait kimlik doğrulama verileri gibi çeşitli kişisel verilerin sızdırıldığı belirtilmiştir. Yetkisiz erişimin engellendiği ancak verilerin uygunsuz şekilde kullanılması veya ifşa edilmesi riskinin halen mevcut olduğu ve veri sorumlusu nezdinde incelemelerin sürdüğü bilgisine yer verilmiştir.
Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.
Veri sorumlusu sıfatını haiz Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kurul’a iletilen veri ihlali bildiriminde, 17.05.2025 tarihinde Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik olayı hakkında veri sorumlusunun bilgilendirilmesiyle ihlalin tespit edildiği belirtilmiştir. İhlalin, bir Adidas çalışanının üçüncü bir tarafa ait e-postayı Adidas Siber Güvenlik Olaylarına Müdahale Ekibine iletmesiyle ortaya çıktığı; söz konusu e-postada üçüncü tarafın, Adidas müşteri verilerine sahip olduğunu iddia ettiği ve Adidas tarafından yapılan inceleme sonucunda paylaşılan dosyanın büyük olasılıkla Adidas müşteri verilerini içerdiği, ayrıca Türk müşterilerinin de bu ihlalden etkilendiği ifade edilmiştir. İhlalin kaynağına ve nasıl gerçekleştiğine ilişkin soruşturmanın sürdüğü belirtilmiş olup ihlalden etkilenen kişi sayısının 544.395 olduğu bildirilmiştir. İhlal kapsamında etkilenen kişisel verilerin isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu; ancak tüm müşteriler için bu verilerin tamamının etkilenmediği bilgisine yer verilmiştir.
GRC LEGAL Yorumu
Mayıs ayı içerisinde Kurul’a iletilen veri ihlali bildirimleri incelendiğinde; turizm, sanayi, perakende ve lüks tüketim gibi farklı sektörlerden ve ölçeklerden şirketlerin ciddi veri güvenliği tehditleriyle karşı karşıya kaldığı görülmektedir. Bu durum, kişisel verilerin korunmasına yönelik idari ve teknik tedbirlerin zamanında ve etkin biçimde alınmasının ne denli hayati olduğunu bir kez daha ortaya koymaktadır.
İlgili bildirimlerde; sistemlere çeşitli yöntemlerle yetkisiz erişimler gerçekleştirildiği, binlerce gerçek kişiye ait kimlik, iletişim, konum, tercih ve müşteri bilgilerinin yetkisiz kişilerin eline geçtiği tespit edilmiştir. Bu tür ihlaller, kişisel verilerin sadece sayısal kapsam açısından değil, içerdiği nitelik bakımından da önemli riskler barındırdığını ve ciddi sonuçlara yol açabileceğini açıkça göstermektedir.
Bu çerçevede, veri sorumlularının KVKK kapsamında öngörülen yükümlülüklerini yalnızca mevzuata uyum amacıyla değil, aynı zamanda kurumsal sorumluluk bilinciyle yerine getirmesi büyük önem taşımaktadır. Olası güvenlik zafiyetleri, yalnızca hukuki yaptırımlar açısından değil; kurumsal itibarın korunması, müşteri ve paydaş güvenilirliğinin sürdürülebilmesi açısından da çok boyutlu bir şekilde değerlendirilmelidir.
Son yaşanan ihlaller, kişisel verilerin korunmasının her ölçekteki kuruluş için yalnızca geçici bir uyum süreci değil; sürekli, dinamik ve stratejik bir yönetim yaklaşımı gerektiren kritik bir alan olduğunu gözler önüne sermektedir.