KVKK Bülteni – Nisan 2024
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2024 Nisan ayında Kurul tarafından beş adet veri ihlal bildirimi yayımlanmış olup veri ihlal bildiriminde bulunanlar arasında sektörlerinde önde gelen şirketler de bulunmaktadır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2024 Nisan ayında Kurul internet sitesi olan kvkk.gov.tr alan adlı sitede beş adet veri ihlal bildirimi yayımlanmıştır.
Yamaha Motor Europe N.V.
Veri sorumlusu sıfatını haiz Yamaha Motor Europe N.V. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle, Veri ihlalinin 26.03.2024 tarihinde tespit edildiği, ihlalin başlama tarihinin net olarak bilinmediği ancak 2019 yılında başlamış olabileceği, güvenlik açığının CRM sistemi üzerinde çalışan müşteri portalındaki hatalı bir yapılandırmadan kaynaklandığı ve bundan dolayı kayıtlı herhangi bir kullanıcının, diğer kullanıcıların verilerine erişebildiği, 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının bu açıktan etkilendiğinin düşünüldüğü, Türkiye genelinde 35.988 kişinin ihlalden etkilenmiş olabileceği belirtilmiştir.
İhlalden etkilenen kişi gruplarının; müşteriler ve potansiyel müşteriler olduğu ve etkilenen kişisel verilerin; ad-soyadı, cinsiyet, e-posta adresleri, (dahili) müşteri numarası verileri ile az sayıda kişi için ise bunlara ek olarak posta adresi ve telefon numarası verileri olduğu belirtilmiştir.
TTZ Pazarlama Plastik Sanayi Limited Şirketi
Veri sorumlusu sıfatını haiz TTZ Pazarlama Plastik Sanayi Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildirimde özetle, ihlalin siber saldırı sonucunda meydana geldiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, ihlalin 19.03.2024 tarihinde başladığı ve 19.04.2024 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, ihlalden etkilenen özel nitelikli kişisel veri kategorilerinin ise; kılık kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkumiyeti ve güvenlik tedbirleri olduğu ifade edilmiştir. İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, etkilenen kişi gruplarının; müşteriler ve potansiyel müşteriler olduğu bilgisi verilmiştir. Ek olarak ilgili kişiler, veri ihlali hakkında bilgi alabilmeleri adına kvkk@titizplastik.com e-posta adresine yönlendirilmiştir.
Titiz Plastik Dış Ticaret ve Sanayi Limited Şirketi
Veri sorumlusu sıfatını haiz Titiz Plastik Dış Ticaret ve Sanayi Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle, İhlalin siber saldırı sonucunda meydana geldiği ve şirket verilerinin bir kısmının şifrelendiği, veri sorumlusundan fidye talep edildiği, ihlalin 13.04.2024 tarihinde başladığı ve 14.04.2024 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu ihlalden etkilenen özel nitelikli kişisel veri kategorilerinin ise; kılık kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkumiyeti ve güvenlik tedbirleri olduğu ifade edilmiştir. İhlalden etkilenen kişi sayısının henüz tespit edilemediği, ihlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu bilgisi verilmiştir. Ek olarak ilgili kişiler, veri ihlali hakkında bilgi alabilmeleri adına kvkk@titizplastik.com e-posta adresine yönlendirilmiştir.
SporPark Ayakkabı Teks. ve Spor Malz. Tic. Limited Şirketi
Veri sorumlusu sıfatını haiz SporPark Ayakkabı Teks. ve Spor Malz. Tic. Ltd. Şti. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle, siber saldırganlarca veri sorumlusu sistemlerinde kayıtlı bir kişinin kullanıcı adı ve şifresini elde ederek sistemde kayıtlı diğer kullanıcılara ait verilerin ele geçirilmesi neticesinde veri ihlalinin gerçekleştiği, ihlalin 01.11.2023 tarihinde başladığı ve 21.04.2024 tarihinde tespit edildiği, siber saldırganlar tarafından altı ay boyunca sistemde kayıtlı kullanıcı adları ve şifrelerinin ele geçirildiği belirtilmiştir. İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon ve müşteri işlem verileri olduğu, ihlalden etkilenen kişi sayısının tespit edilemediği, ihlalden etkilenen kişi gruplarının; çalışanlar, kullanıcılar, üyeler ve müşteriler olduğu ifade edilmiştir. İlgili kişilerin veri sorumlusuna ait 08504807616 numaralı çağrı merkezinden veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir.
Modaselvim Tekstil San. ve Tic. Anonim Şirketi
Veri sorumlusu sıfatını olan Modaselvim Tekstil San. ve Tic. A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle, ihlalin, veri sorumlusunun yetkilisinin kullanıcı bilgilerinin ele geçirilmesi sonucunda sistemlere yetkisiz erişim sağlanması ile gerçekleştiği, ihlalden 20.04.2024 tarihinde gelen şantaj e-posta ile haberdar olunduğu ancak ne zaman başladığının tespit edilemediği belirtilmiştir.
İhlalden etkilenen kişi gruplarının kullanıcılar, aboneler/üyeler ve müşteriler olduğu ve kimlik ve iletişim verilerinin etkilendiği, etkilenen kişi ve kayıt sayısının henüz belirlenemediği ancak tespit çalışmalarının devam ettiği ifade edilmiştir. İhlalden etkilenen ilgili kişilerin çağrı merkezi aracılığı ile veri sorumlusundan kişisel veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.
GRC LEGAL Yorumu
Nisan ayında yayımlanan veri ihlal bildirimleri incelendiğinde, söz konusu ihlallerin güvenlik açıkları ve siber saldırılar neticesinde gerçekleştiği görülmektedir. KVKK uyarınca veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Kanun koyucu ‘her türlü’ ibaresi ile, veri sorumlularına getirilen yükümlülüğü sınırları olan bir çerçeveye oturtmamakta ve geniş bir sorumluluk atfetmektedir.
Günümüzde teknolojik alt yapıları oldukça güçlü firmaların dahi siber saldırılara maruz kaldıkları göz önünde bulundurulduğunda, kimi zaman alınacak en üst seviye teknik tedbirlerin dahi yetkisiz erişimin önüne geçemediğini söylemek yanlış olmayacaktır. Bu doğrultuda, veri sorumlularının sürekli gelişen ve değişen teknolojiye ayak uydurarak alt yapılarını güvenli bir şekilde kurgulamaları önem arz edecektir. Bununla birlikte, yüksek bütçe gerektiren teknik tedbirlerin alınabilmesi için imkânı olmayan küçük ölçekteki firmalar, en azından belli başlı teknik tedbirleri alarak riski minimize etme yolunda ilerleyebileceklerdir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri