KVKK BÜLTEN- TEMMUZ 2024
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2024 Temmuz ayında Kurul tarafından; veri ihlal bildirimlerinin yanı sıra, “Kurul’a İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar” çalışması yayımlanmıştır. İlgili çalışmada; Kişisel Verileri Koruma Kurumu’na (“Kurum”) iletilen şikâyet ve ihbar başvurularının %89’unun geçersiz olmasının sebepleri ele alınmış olup veri sorumlusuna başvuru yolu tüketilmeden önce Kurul’a şikâyet yoluna gidilmesi, veri sorumlusuna e-posta ile başvuru yapılması halinde bu başvurunun veri sorumlusuna daha önceden bildirilen ve veri sorumlusunun sisteminde kayıtlı e posta adresini kullanarak yapılmaması gibi en sık karşılaşılan hatalara yer verilmiştir.
Ek olarak, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) 10.07.2024 tarihinde 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yine aynı tarihte Kurum tarafından Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu ile Standart Sözleşmeler, Bağlayıcı Şirket Kuralları Başvuru Formu ve Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Kılavuzlar yayımlanmıştır.
Yönetmelik’in yürürlüğe girmesi ve Yönetmelik ile paralel olarak Kanun’un 9. maddesinde düzenlenen kademeli yurtdışı aktarımı usullerine yönelik yayımlanan dokümanlar ve kılavuzlar aracılığı ile, Kurum tarafından somut birtakım adımların atıldığı görülmektedir. Bununla birlikte, kişisel verilerin yurtdışı aktarımına yönelik esaslarını düzenleyen mezkûr madde kapsamında uyumluluk sürecinin, 01.09.2024 tarihine kadar veri sorumluları tarafından tamamlanması gerekmektedir.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2024 Temmuz ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede beş adet veri ihlal bildirimi yayınlanmıştır.
Adnan-Özen İnşaat Taahhüt Enerji Turizm Ticaret ve Sanayi Anonim Şirketi
Veri sorumlusu sıfatını haiz Adnan Özen İnşaat Taahhüt Enerji Turizm Ticaret ve Sanayi Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin veri sorumlusuna ait araç kiralama rezervasyonlarının alındığı web sitesinin Uygulama Programlama Arabirimi (API) üzerinde bir sızıntı yaşanması suretiyle gerçekleştiği, siber saldırganın 26 Haziran 2024 tarihinde şirket personeline gönderdiği e-posta ile ihlalin tespit edildiği, ihlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu belirtilmiştir.
İhlalden etkilenen kişisel veri kategorilerinin kimlik (adı, soyadı, TCKN), iletişim (adresi, telefon numarası, e-posta adresi) ve müşteri işlem (rezervasyon tarihi, kiralama süresi ile kiralama bedeli) bilgileri olduğu, ihlalden etkilenen ilgili kişi sayısının 185 olduğu, veri tabanında yaklaşık 12.000 müşteriye ait kişisel veri bulunduğu ve ihlale ilişkin teknik incelemelerin devam ettiği bilgisi verilmiştir.
Creditwest Faktoring Anonim Şirketi
Veri sorumlusu sıfatını haiz olan Creditwest Faktoring Anonim Şirketi tarafından Kurum’a gönderilen kişisel veri ihlali bildiriminde özetle; ihlalin veri sorumlusu sunucularına yapılan saldırı neticesinde gerçekleştiği, ihlal ile ilgili olarak teknik analiz sürecinin devam ettiği, ihlalin SOC izleme uyarısı alınması sonucu tespit edildiği, ihlalden etkilenen kişi sayısının henüz tespit edilemediği, ihlalin 27.06.2024 tarihinde başladığı ve yine aynı tarihte sona erdiği belirtilmiştir.
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem bilgileri olduğu, ihlalden etkilenen kişi grubunun çalışanlar ve müşteriler olduğu, ilgili kişilerin www.creditwest.com.tr, veri sorumlusu telefon hatları ve e-posta yoluyla bilgi alabileceği belirtilmiştir.
Uber Technologies Incorporated
Veri sorumlusu sıfatını haiz olan Uber Technologies Incorporated tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; veri sorumlusunun 2 Temmuz 2024 tarihinde, Uber kaynaklı olabilecek kişisel verileri kamuya açık hale getirme niyetini ortaya koyan bir kişiden e-posta almış olduğu, veri ihlalinin ne zaman gerçekleştiğinin ve ihlalin kaynağının ne olduğunun henüz tespit edilemediği, ihlalden Uber kullanıcıları (yolcular ve/veya yemek siparişi veren kişiler) ve/veya sürücüler ve/veya teslimat yapan kişilerin etkilendiği belirtilmiştir.
İhlalden etkilenen veriler hususunda; Uber kullanıcılarının (yolcular ve/veya yemek siparişi veren kişiler) verilerine dair ekran görüntülerinde isim, e-posta adresi, telefon numarası, profil fotoğrafı, kayıt tarihi ve puan bilgilerinin bulunduğunun öngörüldüğü, Uber platformundaki sürücüler ve/veya teslimat yapan kişiler bakımından ise ihlalden etkilendiği öngörülen verilerin; ekran görüntülerindeki sürücü ehliyeti, sigorta, kimlik kartı, araç kaydı ve özen yükümlülüğü kapsamındaki kontroller gibi belgeler kapsamındaki veriler olduğu ancak etkilenen kişisel verilerin an itibariyle tam olarak bilinmediği ve ihlalden etkilenen kişi sayısının henüz tespit edilemediği bilgisi verilmiştir.
Güneş Ekspres Havacılık Anonim Şirketi (SunExpress)
Veri sorumlusu sıfatını haiz SunExpress tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; bir siber saldırganın, bir yönetici hesabının giriş bilgilerini ele geçirerek veri sorumlusunun kullandığı kampanya yönetim platformuna yetkisiz erişim sağladığı ve bu hesap üzerinden oltalama amaçlı e postalar gönderdiği, ihlalin 15.07.2024 tarihinde gerçekleştiği ve aynı gün tespit edildiği, siber saldırganın, 596.659 tekil e-posta adresine toplamda 1.986.293 e-posta gönderdiği, ihlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu belirtilmiştir.
İhlalden etkilenen kişisel veri kategorisinin iletişim (e posta) bilgisi olduğu, siber saldırganın e-posta gönderdiği 596.659 e-posta adresinin; 86 adedinin çalışanlara (mevcut ve eski çalışanlar), 249.668 adedinin müşterilere ait olduğu, 346.905 e-posta adresinin ise kaynağının bilinmediği ve siber saldırgan tarafından saldırı esnasında sisteme yüklenen e-posta adresleri olduğu ve ilgili kişilerin, veri sorumlusunun internet sitesinde yer alan form aracılığıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.
Ann & Robert H. Lurie Children’s Hospital of Chicago
Veri sorumlusu sıfatını haiz Ann & Robert H. Lurie
Children’s Hospital of Chicago tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; veri sorumlusu bünyesinde siber saldırı gerçekleşmesi sonucu siber suçluların 26-31 Ocak 2024 tarihleri arasında sistemlere erişim sağladığının tespit edildiği, dünya çapında yaklaşık 791.784 kişiyle ilişkili kişisel verilerin dışarı sızdırıldığının tespit edilmiş olduğu, bu bilgilerin hastalar ve hasta yakınları, mevcut ve eski Lurie Children’s ekip üyeleri ve aile üyeleri ile mevcut ve eski yüklenicilerle ilgili olduğu belirtilmiştir.
Etkilenen verilerin kişiden kişiye değişiklik gösterdiği ve iletişim bilgileri, kimlik bilgileri veya bir hastanın sağlığı ya da tıbbi bakımıyla ilgili bilgiler olabileceği, ihlalden Türkiye’den etkilenen ilgili kişi sayısına ilişkin net bilgi bulunmadığı, ihlal ile ilgili detaylı bilgilere Lurie Children’s’ın internet sitesi “www.luriechildrens.org” adresini ziyaret ederek ve sayfanın üst kısmındaki “Cybersecurity Matter” linki üzerinden ulaşılabileceği bilgisi verilmiştir.
GRC LEGAL Yorumu
Temmuz ayında yayımlanan veri ihlal bildirimleri incelendiğinde, söz konusu ihlallerin güvenlik açıkları ve veri sızıntısı sebebiyle veri sorumlularının sunucularında meydana gelen siber saldırılar ile gerçekleştiği görülmektedir. Özellikle SunExpress bünyesinde gerçekleşen veri ihlalinde, neredeyse 600.000 kişinin e-posta adresine yetkisiz erişim sağlandığı ve veri sorumlularının gerekli her türlü teknik ve idari tedbiri almaması sonucunda yaşanan veri ihlal boyutunun ne kadar kapsamlı olabileceği görülmektedir.
Bu kapsamda; veri sorumluları, Kanun uyarınca veri güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğunun bilincinde olarak hareket etmeli, güvenlik önlemlerini sürekli güncelleyerek izleme sistemlerini etkin bir şekilde kullanmalı ve kullanıcı eğitimleriyle bilinçlendirme sağlayarak olası veri ihlallerini engellemelidir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri