KİŞİSEL VERİLERİN KORUNMASI HAKKINDA AYLIK BÜLTEN Nisan – Mayıs 2022

Av. Nil Merve Çelikbaş Şeker L.L.M.

Nisan ve Mayıs 2022 dönemleri Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan birçok ihlal bildirimi ve karar ile kişisel verilerin korunması (“KVKK”) mevzuatı açısından oldukça yoğun bir şekilde geçmiştir. Bu yazımızda öne çıkan ihlal bildirimleri ve kararları özetleyerek açıklamış bulunmaktayız.

DUYURU VE İLKE KARAR

BELEDİYELERE İLİŞKİN İLKE KARAR

29 Nisan 2022 tarihli 31824 sayılı Resmî Gazete ’de Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı (“İlke Karar”) yayınlanmıştır.

Anılan İlke Karar’da; Kurum’a intikal eden ihbarlar üzerine belediyelerin internet sitelerinde sunduğu emlak vergisi ödeme ve borç sorgulama hizmetinde ilgilinin sadece T.C. kimlik numarasının girilerek ilgililerin kişisel verilerine ulaşılabilmesinin kişisel verilerin korunması mevzuatı açısından değerlendirmesi yapılmıştır.

Kurul tarafından yapılan değerlendirmede; Kanun’un 12. maddesince veri sorumlusunun işlenen kişisel verilerin hukuka aykırı erişilmesini önlenmek ile yükümlü olduğu, bu kapsamda gerekli önlemleri alması gerektiği, gerekli önlem ve tedbirlerin Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde öngörülen (“Teknik ve İdari Tedbirler”) yöntemler ile yapılacağı, söz konusu kişisel verilere uzaktan erişim sağlanması durumunda iki kademeli kimlik doğrulama sisteminin kullanılmasının Kurum tarafından öngörüldüğü ve anılan iki kademeli kimlik doğrulama sisteminde olası veri ihlalinin engellenmesi için T.C. kimlik numarasının yanında telefon, anne/baba adı gibi üçüncü kişilerin haiz olabileceği bilgiler yerine ilgiliye özel sorular içeren bir sistem kullanılması gerekildiği sonucuna varılmıştır.

Kurul tarafından bu değerlendirme çerçevesinde; belediyelerin internet sitelerinde sağladığı emlak vergisi ödeme ve borç sorgulama hizmetini sunarken kişisel verilerin korunması mevzuatı doğrultusunda yükümlülüklerini yerine getirmek ve olası veri ihlallerinin önüne geçmek amacıyla iki kademeli kimlik doğrulama sistemini kullanmasına, söz konusu önlemi almayan belediyeler hakkında Kurul’a intikal edecek ihbarlar doğrultusunda Kanun’un öngördüğü şekilde işlem tesis edileceğine karar verilmiştir.

Anılan İlke Karar ile görüldüğü üzere, veri sorumlusu sıfatına haiz tüm gerçek ve tüzel kişilerin, kişisel verilerin işlenmesinde Kanun ve Kurul tarafından öngörülen hükümler doğrultusunda hukuki sorumluluğunu yerine getirmesinin kişisel verilerin korunması mevzuatı açısından oldukça büyük önem arz ettiği ortadadır. 

VERBİS KAMUOYU DUYURUSU

Kurul tarafından yayınlanan 21 Nisan 2022 tarihli duyuru ile Kurul’un 2021/238 sayılı ve 11/03/2021 tarihli kararı doğrultusunda veri sorumluları siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyen; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları hakkında idari yaptırımın uygulanmaya başlandığı duyurulmuştur. 

Anılan duyuru doğrultusunda, Kanun’un 18. maddesi kapsamında Kurul tarafından inceleme yapılarak yükümlülüklerini yerine getirmeyen veri sorumlularına 20.000 TL (Yirmi Bin Türk Lirası) ile 1.000.000 TL (Bir Milyon Türk Lirası) arasında idari para cezası verilecektir. 

KURUL KARARLARI

 

ÜNİVERSİTE KARARI

 

Kurum tarafından yayınlanan 2 Aralık 2021 tarihli ve 2021/1214 sayılı karara konu şikâyette özetle; Üniversite Eğitim Merkezi tarafından verilen bir eğitimde katılımcıların T.C. kimlik numaraları ve isim ve soy isimlerinin bulunduğu yoklama listesinin diğer kişiler tarafından görülebilecek şekilde elden ele dolaştırılarak imzalandığı ve söz konusu kişisel verilerin işlenmesi hakkında Bakanlık ve Üniversite tarafından ilgililere herhangi bir aydınlatma yapılmadığı belirtilmiştir. Anılan durum üzerine Bakanlık ve Üniversiteye ilgililer tarafından başvuru yapıldığı ancak yasal süre içerisinde ilgili kurumlardan herhangi bir cevap verilmediği görülmüştür. 

Şikâyetin Kurum’a intikal etmesi üzerine Bakanlık şikâyete ilişkin cevabında; Eğitim düzeni ve faaliyetine ilişkin hususların Üniversite tarafından belirlendiğini, bu nedenle veri sorumlusu sıfatı ile sorumluluğunun bulunmadığını, ilgililerin T.C. kimlik numaralarına ilişkin ise eğitimde devamlılık şartı bulunduğunu bu nedenle eğitim sonunda düzenlenecek katılım belgesinde isim benzerliği nedeni ile yaşanabilecek herhangi bir sorunla karşılaşılmaması için alındığını belirtmiştir. Ayrıca Bakanlık, ilgililer tarafından yapılan başvuruya ilişkin herhangi bir cevap verilmediği yönündeki iddianın gerçeği yansıtmadığını, gerekli cevabın ilgililere verildiğini belirtmiştir.

Anılan şikâyet hakkında Üniversite, ilgili kişisel verilerin 6698 Sayılı Kişisel Verileri Koruma Kanunu (“Kanun”) 5. maddesinde yer alan fıkralar doğrultusunda işlendiğini, 10. madde ve tebliğ hükümleri çerçevesinde Eğitim Merkezinde tüm katılımcılar ile sözleşme imzalandığını, eğitimde bulunan yoklama alma zorunluluğunu katılımcıların kabul ederek anılan eğitime katıldığını belirtmiştir.

Kurum tarafından; Bakanlık ve Üniversitenin eğitim düzeni ve faaliyetlerde yönetmelik ve kanunlar çerçevesinde koordinasyon içerisinde hareket etmesi gerektiği bu sebeple ikisinin de ayrı ayrı veri sorumlusu sıfatına haiz olduğu, ilgili kurumlar tarafından yasal süresi içerisinde kişisel verilerin işlenmesine ilişkin cevap verilmediği ve yoklama listesinde bulunan kişisel verilerin elden ele olmak sureti ile dolaştırılmasının söz konusu verilerin hukuka aykırı olarak üçüncü kişiler ile paylaşıldığı sonucuna varılmıştır. 

Yapılan inceleme sonucunda Kurum; ilgili kişilere süresi içerisinde cevap verilmesi gerekliliğinin Bakanlık’a hatırlatılmasına, şikâyet tarafı Üniversite ve diğer eğitim kuruluşlarına kişisel verilere ilişkin hukuki sorumluluğun yerine getirilmesinde maskeleme yöntemi ile verilerin muhafaza edilmesi gerektiği yönünde talimat verilmesine ve Üniversite tarafından eğitim sürecinde uygulanacak aydınlatma yükümlülüğünün geliştirilerek Kurum’a bilgi verilmesine karar vermiştir.

Karara konu olay göstermektedir ki; kişisel verilerin korunması kavramı olağan hayat içerisinde oldukça sık bir şekilde ve basit olgularla karşımıza çıkabilmektedir. Bu doğrultuda, ilgililerin kişisel verilerini içeren durumlar söz konusu olduğunda oldukça dikkatli olmaları gerektiği, Bakanlık gibi devlet kuruluşlarının da dahil olduğu veri sorumlularının da söz konusu verilerin hukuka uygun şekilde işlenmesi, saklanması ve üçüncü kişilere aktarılmasında mevzuata uygun şekilde ilerlenmesi gerektiği aşikardır.

AVUKAT KARARI

 

Kurum’a intikal eden bir diğer şikâyet konusu ise; Banka avukatı tarafından borçlu kişinin yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi hakkındadır. 

Anılan olayda; Borçlu, banka avukatı tarafından ilgili yakınına İcra İflas Kanunu madde 89 kapsamında gönderilen haciz ihbarnamesinde kişisel verilerinin bulunduğu, bu nedenle kişisel verilerinin açık rızası alınmadan hukuka aykırı olarak üçüncü kişilere aktarıldığı belirtilmiştir.

Banka ve Avukatı tarafından Kurum’a yapılan savunmada özetle, kişisel verilerin Kanun kapsamında işlendiği, 5. maddenin 2. fıkrası uyarınca kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerine dayanılarak anılan verilerin aktarıldığı, söz konusu haciz ihbarnamesinin icra müdürlüğü tarafından hazırlandığı ve gönderildiği, bu sebeple bankanın ve banka avukatının herhangi bir sorumluluğunun bulunmadığı belirtilmiştir. 

Kurum tarafından yapılan inceleme sonucunda; bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması ve veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı olması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunu bu doğrultuda banka adına borçlunun yakınlarına haciz ihbarnamesi gönderilmesinde Banka ve Banka Avukatının Kanun’a uygun hareket ettiği bu nedenle Kanun kapsamında haklarında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

İlgili Karar’da görüldüğü üzere, her ne kadar kişisel verilerin işlenmesinin kişinin açık rızasına dayandığı öngörülse de Kanun’da bulunan kamu düzenini sağlamayı ve hukuki yararı korumayı öngören istisnai haller durumunda kişisel verilerin işlenmesi açık rıza dışında da gerçekleşebilmektedir. Ancak, Kanun maddesinde de belirtildiği üzere bu istisnai durumun öngörülen şartlar içerisinde uygulanması ve uygulanırken ilgililerin anayasal hakkına dayanan hukuki yararının korunmaya devam edilmesi gerektiği açıkça görülmektedir.

HOLDİNG KARARI

 

Kurum’a iletilen ihbarın konusu, veri sorumlusu tarafından icra takibi başlatılan müşterilerin kişisel verilerinin herkesin erişimine açık internet sitesinde alenen yayınlaması hakkındadır. 

Anılan ihbar üzerine Kurum tarafından yapılan inceleme sonucunda; Holding bünyesindeki veri sorumlusu tarafından icra takibi başlatılan müşterilerin T.C. kimlik numaraları, adres, telefon ve araç plakası gibi verilerinin internet sitesinde paylaşıldığı, icra takibi başlatılmasında kişisel verilerin işlenmesi her ne kadar Kanun’a uygun şekilde yapılsa da kişisel verilerin erişime açık internet sitesinde herkesin göreceği şekilde yayınlanmasının hukuka aykırı işlem tesis ettiği bu sebeple ihbara konu olayın kişisel verilerin korunması mevzuatına açıkça aykırılık içermesi nedeni ile ilgili Holding’e 200.000 TL (İki Yüz Bin Türk Lirası) idari para cezası uygulanması gerektiğine karar verilmiştir. 

BANKA KARARI

 

Kurum tarafından incelenen şikâyette özetle; ilgili kişinin Bankaya kişisel verilerinin silinmesine ilişkin talepte bulunduğu, Banka tarafından gerekli işlemlerin yapıldığı bilgilendirilmesine rağmen ilgiliye sms ve e-posta yolu ile mesaj gönderilmeye devam edildiği bu nedenle veri sorumlusunun hukuka aykırı veri işlemesi sebebi ile gerekli işlemlerin yapılması talep edilmiştir. 

Veri sorumlusunun savunması doğrultusunda yapılan inceleme sonucunda;  ilgili kişinin Bankadan almış olduğu ürün ve hizmetler nedeniyle verilerinin Kanun’un 5. maddesi çerçevesinde işlendiği, söz konusu verilerin işlenmesinin Bankanın hukuki yükümlülüğünü yerine getirebilmesi için gerekli olduğu, ancak ilgili kişinin talebi üzerine yapılan veri işleme faaliyetinin sonlandırılacağı bilgilendirmesine rağmen sonraki süreçte sms ve e-posta aracılığı ile ilgiliye mesaj gönderilmeye devam edilmesinin Kanun’un 5. maddesine açıkça aykırılık teşkil ettiği, bu sebeple anılan Bankaya 150.000TL (Yüz Elli Bin Türk Lirası) idari para cezası verilmesi gerektiği; kişisel verilerin saklanmasına ilişkin değerlendirmesinde ise ilgilinin verilerinin silindiğine ilişkin herhangi bir bildirimde bulunulmadığı, söz konusu bilgilendirmenin veri işlenmesine dair olduğu, verilerin hukuki yükümlülükler doğrultusunda saklanması gerektiği nedeni ile Bankanın kişisel verileri yok etmesinin kanunen mümkün olmadığı bilgileri doğrultusunda kişisel verileri koruma mevzuatı çerçevesinde bir işlem tesis edilmesinin gerekmediğine karar verilmiştir.

TÜBİTAK KARARI

 

Kurum’a intikal eden bir diğer şikâyet ise; Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (“TÜBİTAK”) tarafından Yüksek Öğretim Kurul’una (“YÖK”) bilgilendirme amaçlı gönderilen kişisel veri içeren yazının, Üniversite Rektörlüğü (“Rektörlük”) tarafından üniversitenin internet sitesinde yayınlanması ve ilgili ve ilgisiz tüm personele e-posta yoluyla iletilmesi sebebi ile kişisel verilerin korunması mevzuatına aykırı işlem yapıldığına ilişkindir.

Kurum’un, Rektörlük tarafından yapılan savunma ve anılan şikayet doğrultusunda yaptığı değerlendirmede; söz konusu kişisel verileri ihtiva eden belgenin, yağmacı yayıncılık açısından şüphe içermesi nedeni ile yazar kişi hakkında yaptırım uygulanacağına ilişkin olduğu anlaşılmakla, Rektörlük tarafından akademik teşvik, atama ve yükseltmelerde bu dergilerin değerlendirme dışı bırakılması için Elektronik Belge Yönetimi Sistemi üzerinden ilgililer ile paylaşıldığı ve şikayet eden tarafından anılan belgenin ilgililere e-posta yoluyla paylaşıldığına ilişkin kanıt sunulmadığı belirtilmiştir. Bu bilgiler doğrultusunda, anılan belgenin ilgililer ile paylaşılmasının Kanun’un 5. maddesinde öngörülen, veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında olduğu, diğer bir deyişle kişisel verileri içeren belgenin ilgililer ile paylaşılmasının hukuka uygun olduğu tespit edilerek söz konusu olaya ilişkin kanun kapsamında yapılacak işlem olmadığına karar verilmiştir. 

Öte yandan, Rektörlük tarafından kişisel verileri ihtiva eden belgenin üniversitenin üçüncü kişilerin erişimine açık internet sitesinde paylaşılmasının Kanun’un 4. maddesi doğrultusunda kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeni ile veri sorumlusu üniversitenin sorumluluklarını yerine getirmediği sebebiyle hakkında işlem yapılmasına karar verilmiştir. 

MEDYA ŞİRKETİ KARARI

 

İlgili şikâyet üzerine Kurum tarafından; veri sorumlusu ve hizmet sağlayıcı sıfatlarına haiz medya şirketinin, ana haber programında şikâyet eden kişi ve çocuğunun fotoğraflarını kullanarak ilgili kişi ve çocuğu hakkında gerçeği yansıtmayan televizyon haberi yapması sonucu mevzuata aykırı veri işlenmesinin söz konusu olduğu tespit edilmiştir. 

Veri sorumlusu medya şirketi tarafından Kurum’a iletilen savunmada, haber içeriğinin Anadolu Ajansı gibi ajanslardan alınan bilgiler ile olay çevresinde yapılan röportajlara dayandığı, haber içeriğinin somut gerçeğe uygun olduğu, ilgili kişi anne ve çocuk hakkında şeref ve haysiyete veya kişilik haklarına saldırı teşkil edecek bir ifade veya yorumda bulunulmadığı, muhabirler tarafından olay yerinde emniyet mensupları tarafından görüşüldüğü ve ilgililerin fotoğraflarının yüzleri kapatılarak yayınlandığı, isimlerinin yayınlanmadığı, bu sebeple T.C. Anayasası’nın 26. maddesi ile güvence altına alınan basın hürriyeti sebebi ile ilgili kişilere karşı bir kusurun oluşmadığı belirtilmiştir.

Kurum yaptığı incelemeler sonucunda; veri sorumlusu medya şirketinin yayınladığı olayın gerçek hayatta vuku bulduğu ancak haberde olay ile ilgisi olmayan ilgililerin isimlerinin ve fotoğraflarının kullanıldığının tespit edildiği, medya şirketinin haberin kaynağı olarak gösterdiği ajansların haberlerinde habere konu kişilerin isimlerinin doğru yazıldığı, kamu yararı bulunmayan bir haberin yayınlanmasında haber verme hakkından bahsedilemeyeceği, ilgili kişilerin isim, soy isim ve fotoğraflarının açık şekilde kullanılması sonucu üçüncü kişiler tarafından teyit edilebilirliğinin yüksek olması nedeni ile Kanun’un istisna hükümlerinden veri sorumlusu medya şirketinin yararlanamayacağına, bu sebeple veri sorumlusuna 300.000,00 TL (Üç Yüz Bin Türk Lirası) idari para cezası verilmesine karar verilmiştir.

İlgili kararda görüldüğü üzere, kişisel verilerin mevzuata ve gerçeğe uygun şekilde işlenmesi ve kullanılması, söz konusu verilerin ilgililerinin anayasal haklarına dayanması nedeni ile oldukça büyük önem arz etmektedir. Zira anılan kararda olduğu gibi kişisel veriler kullanılarak yapılan gerçeğe aykırı haber vb. durumlarda, veri sorumlusunun kişisel verilerin korunması mevzuatı kapsamındaki sorumluluğu dışında ceza sorumluluğu da ortaya çıkmaktadır.

E-TİCARET SİTESİ KARARI

 

Kurum’a intikal eden şikâyet, e-ticaret sektöründe faaliyet gösteren veri sorumlusunun internet sitesinde ve mobil uygulamasında kullanılan çerezler aracılığıyla hukuka aykırı veri işlendiğine ilişkindir.

Anılan şikayette özetle; veri sorumlusunun çerez politikasının özel hayatın gizliliğine ve temel hak ve özgürlüklere aykırı olduğu, internet sitesinde yer alan politikanın anlaşılmaz ve eksik ifadeler içermesi sebebi ile veri sorumlusunun gerekli aydınlatma yükümlülüğünü yerine getirmediği, internet sitesi aracılığıyla işlenen verilerin ilgililerin açık rızası olmadan yurtdışına aktarıldığı, kullanılan analitik çerezler ile yurtdışına veri aktarılmasının Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) göre açık rızaya tabii olduğu, ancak söz konusu durum hakkında ilgililere aydınlatma yükümlülüğünün yerine getirilmediği ve açık rızanın da alınmadığı belirtilmiştir.

Kurum tarafından yapılan inceleme neticesinde; internet sitelerinin çalışması için zorunlu çerezler dışında kalan reklam ve pazarlamaya ilişkin çerezlerin kullanılmasında kişinin açık rızasının alınması gerektiği, söz konusu olaydaki çerezlerin zorunlu çerezler kategorisine girmediği ve zorunlu çerez olmayan çerezler için açık rıza verilmesine ilişkin aydınlatma yükümlülüğünde bir ibare bulunmadığı, çerez politikası ile işlenen verilerin Kanun’un ilgili maddesine aykırı üçüncü kişilere aktarıldığı gerekçesi ile veri sorumlusu şirkete 800.000,00 TL (Sekiz Yüz Bin Türk Lirası) idari para cezası verilmesine karar verilmiştir.

İHLAL BİLDİRİMLERİ

BAYDÖNER Veri İhlali

26 Mayıs tarihinde Kurum tarafından yayınlanan veri ihlali bildiriminde; Baydöner Restoranları Anonim Şirketi (“Baydöner”) bünyesindeki bilgi işlem yöneticisinin bilgisayarının zararlı bir yazılım tarafından saldırıya uğraması sonucu çalışanlar, kullanıcılar ve üyelerin isim, e-posta, cep telefonu ve adres gibi kişisel verilerine erişildiği, etkilenen kişi sayısının 505.307 kişi olduğu ve söz konusu saldırının 21 Mayıs 2022 tarihinde gerçekleştiği bildirilmiştir. 

Zksoftware Veri İhlali

ZkSoftware The Advanced Biometric Solution Elektronik San. ve Tic. Ltd. Şti. (“ZKsoftware”) tarafından Kurum’a iletilen veri ihlali bildiriminde özetle; veri sorumlusuna ait iki veri depolama alanındaki dosyaların 22 Mayıs 2022 tarihinde crypto şifreleme ile kilitlendiği, etkilenen ilgililerin personel ve müşteriler olduğu, veri içeriğinin kimlik belgeleri, personel özlük bilgileri, pazarlama bilgileri, finans bilgileri olduğu, söz konusu ihlalden 1000 kişinin etkilendiği, ilgili kişilerin anılan ihlal ile ilgili info@zksoftware.tr e-posta adresinden veya 08508111195 telefon numarasından bilgi alabileceği bildirilmiştir. 

Yıldız Teknoloji Veri İhlali

Veri sorumlusu Yıldız Teknoloji Geliştirme Bölgesi Teknopark A.Ş. (“Yıldız Teknoloji”) tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin 3 Mayıs 2022 tarihinde veri sorumlusuna ait sisteme yapılan siber saldırı sonucu meydana geldiği, 5 Mayıs 2022 tarihinde bırakılan fidye notu ile fark edildiği, söz konusu ihlalden etkilenen sistemlerin Argeportal, EBYS, eBA, PDKS, Logo yazılım ve şirket içi ortak alan olduğu, etkilenen kişisel verilerin içeriğinin kimlik, iletişim, lokasyon, finans, özlük ve müşteri işlemleri olduğu ve etkilenen kişi sayısının henüz tespit edilemediği bildirilmiştir. 

Keyubu Veri İhlali

Veri sorumlusu Keyubu İnternet ve Bilişim Hizmetleri (“Keyubu”) tarafından Kurum’a iletilen ihlalde özetle; 18 Nisan 2022 tarihinde veri sorumlusu tarafından kullanılan sunucular üzerinde kurulu OnatWeb Auto VM sanal sunucu yönetimi yazılımında bulunan bir açık sebebi ile siber saldırı düzenlendiği, tüm sunuculardaki verilerin imha edildiği, söz konusu saldırıdan etkilenenlerin müşteriler olduğu, kişisel veri içeriğinin kimlik, iletişim ve işlem güvenliği bilgileri olduğu ve söz konusu ihlalden etkilenen kişi sayısının tam olarak tespit edilemediği bildirilmiş olup ilgili kişilerin info@keyubu.com e-posta adresinden bilgi alabileceği belirtilmiştir. 

Paketman Veri İhlali

Paketman E-Ticaret Sanayi Ticaret Anonim Şirketi (“Paketman”) tarafından bildirilen ihlalde özetle; veri sorumlusuna ait veri tabanına siber saldırı düzenlenerek verilerin saldırganlar tarafından ele geçirilmesi, sistemden silinmesi ve sonrasında fidye talep edilmesi sonucu fark edildiği, ihlalden etkilenen kişilerin 1362 kullanıcı olduğu ve söz konusu kişisel verilerin içeriğinin kimlik bilgileri, iletişim ve adres bilgileri olduğu belirtilmiştir.

Magna Ventures Veri İhlali

Magna Ventures Yazılım ve Teknoloji Girişimleri Ticaret Anonim Şirketi (“Magna Ventures”) tarafından Kurum’a iletilen veri ihlali bildiriminde; veri sorumlusuna ait kişiye özel çalışma alanı sunan Poda Mobil uygulamasına yetkisiz erişim sağlanarak veri tabanı şifresine erişildiği, 20 Nisan 2022 tarihinde fark edilen ihlalin hangi tarihte gerçekleştiğinin bilinmediği, söz konusu ihlalden etkilenen kişilerin olup olmadığı hususu veri sorumlusu tarafından henüz tespit edilemese de söz konusu uygulamayı kullanan 7823 üye olduğu ve uygulamada ilgililerin kimlik bilgileri, e-posta ve telefon numaralarının bulunduğu bildirilmiştir. Söz konusu ihlalden ilgililerin etkilenip etkilenmediği veri sorumlusu tarafından tespit edilemediğinden yapılan araştırma ve incelemeler sonucunda elde edilen bilgiler doğrultusunda ilgililere poda@poda.com.tr e-posta adresi veya 08502903090 telefon numarasından bilgilendirme yapılacağı belirtilmiştir. 

Villacım Emlak Veri İhlali

Villacım Emlak Turizm İnşaat Sanayi ve Ticaret Limited Şirketi (“Villacım Emlak”) tarafından Kurum’a iletilen ihlalde özetle; Veri sorumlusuna ait internet sitesine 12 Mayıs 2022 tarihinde  (https://www.villacim.com.tr/) cross site scripting saldırısının gerçekleştirildiği, gerçekleştirilen saldırı sonucunda müşterilere ait telefon numaraları ele geçirilerek ilgililere kampanya mesajları atıldığı ve akabinde veri sorumlusundan fidye talep edildiği, söz konusu saldırıdan yaklaşık 35.956 müşterinin etkilendiği, saldırganların elde ettiği verilerin içeriği tam olarak tespit edilememekle beraber tahmini kimlik, adres ve telefon bilgileri olduğu ve ilgili kişilerin ihlale ilişkin info@villacim.com.tr e-posta adresinden veya 08505326802 telefon numarasından bilgi alabileceği bildirilmiştir. 

(Cross site scripting “xss”: Genellikle javascript kodları üzerinden başka bir web sayfasına saldırı düzenlenmesidir. Anılan saldırı genel olarak tarayıcıda saklı bilgiler olarak yer alan çerezlere saldırı amacı taşımaktadır.)

Yıldızlar Yatırım Veri İhlali

Yıldızlar Yatırım Holding A.Ş. (“Yıldızlar Yatırım”), Yıldız Demir Çelik Sanayi A.Ş., Yıldız Entegre Ağaç Sanayi A.Ş. ve İstanbul Gübre Sanayi A.Ş. (“İGSAŞ”) tarafından Kurum’a iletilen veri ihlali bildiriminde özetle; saldırganların henüz tespit edilemeyen bir saldırı yöntemi ile 3 Nisan 2022 tarihinde veri sorumlularına ait veri tabanlarını şifreleyerek fidye talep ettiği, söz konusu verilerin içeriğinin e-fatura, e-defter, muhasebe, lojistik, stok, personel, insan kaynakları, üretim ve yönetim bilgileri olduğu bildirilmiş olup söz konusu ihlalden etkilenen kişilerin ve sayısının henüz tam olarak tespit edilememesi sebebi ile ihlal bildiriminde yer almamıştır.

SONUÇ

Yukarıda açıklanan ihlal bildirimleri ve kararlar ışığında; kişisel verilerin korunması, günümüz teknoloji çağında oldukça büyük önem arz etmektedir. Bu durum son dönemlerde sıklıkla karşımıza çıkan veri sorumlularına yöneltilen siber saldırılardan açıkça anlaşılmaktadır. Bu doğrultuda, veri sorumluları tarafından ilgililerin kişisel verileri işlenirken, saklanırken veya üçüncü kişilere aktarımı yapılırken oldukça dikkatli ve özenli bir şekilde günümüz teknolojisine uygun yöntemler ile ilerlenmesi ve kişisel verilerin korunması mevzuatı doğrultusunda işlemlerde bulunulması gerekmektedir. 

Ayrıca, veri sorumluları ve kişisel verilere haiz kişilerin ilgililerin kişisel verilerini içeren işlemlerinde ceza hukuku ve kişisel verilerin korunması mevzuatı altında yükümlü oldukları, anılan hukuki, cezai ve idari sorumluluğa göre hareket edilmesi gerektiği, zira söz konusu durumun kişilerin anayasal haklarına dayanması sebebi ile anılan hakların hukuk devleti çerçevesinde korunmasının büyük önem arz ettiği izahtan varestedir.

 

*Yasal Uyarı*

İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.

Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir