KİŞİSEL VERİLERİN KORUNMASI ALANINDA MAYIS AYINDA NELER OLDU?
4 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI
- Tourama Tourism Seyahat ve Ticaret A.Ş.
- Atakaş Çelik Sanayi ve Ticaret A.Ş. ve Atakaş Liman İşletmeciliği ve Ticaret A.Ş.
- Christian Dior Couture SA
- Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.
- Tourama Tourism Seyahat ve Ticaret A.Ş.
Veri sorumlusu sıfatını haiz Tourama Tourism Seyahat ve Ticaret Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) ihlalin 29.04.2025 tarihinde gerçekleştiği ve aynı gün tespit edildiği, veri sorumlusuna ait bir web uygulamasındaki güvenlik açığından faydalanılması sonucu otellere bilgi amaçlı gönderilen e-postalara yetkisiz erişim sağlandığı,
(ii) ihlalin, yetkisiz kişinin sisteme sızdığına dair veri sorumlusuna bir e-posta göndermesi üzerine tespit edildiği, ihlalden müşterilere ait ad ve soyad bilgisinin etkilendiği, (iii) ihlalden etkilenen kişi ve kayıt sayısının tam olarak tespit edilemediği, ancak yapılan incelemelerde, e-posta sunucusunda bulunan dosyaların bir kısmının yetkisiz şekilde dışarı sızdırıldığının veri sorumlusu tarafından değerlendirilmiş olduğu ve e-posta sunucusunda yaklaşık 8.200 kişinin ad ve soyad bilgisinin yer aldığının tahmin edildiği bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- Atakaş Çelik Sanayi ve Ticaret A.Ş. ve Atakaş Liman İşletmeciliği ve Ticaret A.Ş.
Veri sorumlusu sıfatını haiz Atakaş Çelik Sanayi ve Ticaret A.Ş. ve Atakaş Liman İşletmeciliği ve Ticaret AŞ tarafından Kurula iletilen veri ihlali bildirimlerinde özetle; (i) bir süre önce bir kısım çalışan ve eski çalışanın kimlik ve iletişim bilgilerini içeren tehdit ve şantaj içerikli e-postalar alınmaya başlandığı, (ii) e-postaların, öncelikle güvenlik duvarına takıldığı için geç fark edildiği; 08.05.2025 tarihinde gönderilen e-postada yer alan bağlantıya tıklandığında çalışanlara ait, fotoğraf, kimlik, adres, anne adı, baba adı bilgilerinin bulunduğunun görüldüğü, (iii) ilgili log kayıtlarından 03.05.2025 tarihinden itibaren yetkisiz girişler olduğunun tespit edildiği, (iv) İhlalden etkilenen ilgili kişi grubunun çalışanlar ve eski çalışanlar olduğu, (v) İhlalden etkilenen ilgili kişi sayısının Atakaş Çelik Sanayi Ve Ticaret A.Ş. için tahmini olarak 1080, Atakaş Liman İşletmeciliği ve Ticaret AŞ için tahmini 135 olduğu, (vi) ihlalden etkilenen kişisel verilerin ad, soyad, vesikalık fotoğraf, telefon numarası, doğum tarihi, e-posta adresi, anne adı, baba adı, adres bilgisi, medeni hal, cinsiyet, işe giriş tarihi, görev ve şirket bilgileri olduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- Christian Dior Couture SA
Veri sorumlusu sıfatını haiz Christian Dior Couture SA tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) 26 Ocak 2025 tarihinde, veri sorumlusunun küresel CRM veritabanında tutulan aktif, pasif ve potansiyel müşterilere ait kişisel verilere yetkisiz erişim gerçekleştirdiği, (ii) kötü niyetli yetkisiz kişinin dışarı aktarılan verileri ifşa etmekle tehdit ederek veri sorumlusundan fidye talep ettiği, (iii) ihlalden etkilenen ilgili kişi grubunun müşteriler ve potansiyel müşteriler, satış danışmanları ve müşteri asistanları olduğu, (iv) ihlalden etkilenen ilgili kişi sayısının henüz tespit edilemediği, (v) ihlalden etkilenen kişisel verilerin; ad, cinsiyet, doğum tarihi, yaş, posta veya e-posta adresi, sabit hat veya cep telefonu numarası, şifre, müşteri numarası, pasaport bilgileri, kimlik belgeleri, genel tercih verileri (yeme-içme, etkinlikler, hobiler vb.), satın alma geçmişi verileri (segmentler, nihai parasal tutar vb.), satın alma tercihi ve ölçü verileri (renk, beden, ölçüler vb.), meslek bilgisi, dolandırıcılık şüphesi ve uluslararası yaptırımlar kapsamındaki numaralar (yasalar gereğince tutulan), bazı ülkelerde yasal olarak talep edilen vergi numarası, imza ve hedef alınan müşteri hizmetleri personeline ait kimlik doğrulama verileri olduğu, (vi) CRM veritabanına yetkisiz erişim engellenmiş olmakla birlikte, verilerin uygunsuz şekilde kullanılması veya ifşa edilmesi riskinin mevcut olduğu, (vii) Veri sorumlusu bünyesinde ihlal ile ilgili incelemelerin devam ettiği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.05.2025 tarih ve 2025/879 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
- Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.
Veri sorumlusu sıfatını haiz olan Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) veri sorumlusunun, Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik olayı hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edildiği, (ii) ihlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Ekibine iletmesinin ardından ortaya çıktığı, (iii) bu e-postada üçüncü tarafın, Adidas müşteri verilerine sahip olduğunu iddia ettiği, Adidas tarafından yapılan inceleme sonucunda üçüncü şahıs tarafından paylaşılan dosyanın büyük olasılıkla Adidas müşteri verilerini içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafından doğrulandığı,
İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği, (iv) İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu, (v) ihlalden etkilenen kişisel verilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için bütün veri tiplerinin etkilenmediği bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI
2.1. Avrupa Veri Koruma Otoriteleri Konferansı Düzenlendi.
Avrupa çapındaki veri koruma otoritelerinin katılım sağladığı, kişisel verilerin korunmasına dair önemli gelişmelerin ele alındığı 33. Avrupa Veri Koruma Otoriteleri Konferansı (Spring Conference) 6-9 Mayıs 2025 tarihlerinde Gürcistan’ın Batum kentinde gerçekleştirildi.
Konferansa, Kurumu temsilen, Kurum Başkanı Prof. Dr. Faruk BİLİR ve Kurul Üyelerinden Tamer AKSOY katılım sağladı.
Gürcistan Veri Koruma Otoritesi’nin ev sahipliği yaptığı Konferans’ta başta yapay zekâ olmak üzere; güncel teknolojilerin kişisel verilerin korunmasına etkileri, veri koruma alanında uluslararası iş birliğinin önemi ve çocukların kişisel verilerinin korunması gibi konular hakkında paneller düzenlendi.
Öte yandan Kurum Başkanı Prof. Dr. Faruk BİLİR, Batum Başkonsolosu Sayın Adnan Altay ALTINÖRS’ü ziyaret etti.
2.2. Kolluk Kuvvetlerinde Kişisel Verilerin Korunması Konulu Çarşamba Semineri Düzenlendi.
Seminerde, Türk hukukunda kolluk faaliyetlerinde kişisel verilerin korunmasının, 6698 sayılı Kanun hükümleriyle ve diğer kanunlarda bulunan özel hükümlere göre sağlandığını belirten KAŞLI, kolluk faaliyetlerinde kişisel verilerin korunmasının uluslararası iş birliği için önemini anlattı.
KAŞLI, ulusal mevzuattan ve AB mevzuatından örnekler vererek kolluk faaliyetlerinde kişisel verilerin korunmasına ilişkin ilkeleri açıkladı.
2.3. Yapay Zeka Teknolojileri ve Kişisel Veriler Temalı 2. Ulusal Kişisel Verilerin Korunması Sempozyumu Gerçekleştirildi.
Kurum ve İstanbul Teknik Üniversitesi iş birliğinde “Yapay Zekâ Teknolojileri ve Kişisel Veriler” temalı II. Ulusal Kişisel Verilerin Korunması Sempozyumu İstanbul’da gerçekleştirildi.
Sempozyum’da yapılan konuşmaların ana başlıklarına ve konuşmacıların bilgilerine buradan erişebilirsiniz.
2.4. Kişisel Verilerin Korunması Terimler Sözlüğü Yayımlandı.
Terimler sözlüğü, 6698 sayılı Kanun ve ilgili mevzuattaki tanımlar ile ulusal çalışmalar başta olmak üzere, AB düzenlemeleri ve Avrupa Veri Koruma Kurulu (EDPB), Avrupa Veri Koruma Denetçisi (EDPS), IAPP ve benzeri kuruluşların çalışmaları arasından seçilen yüz kavrama ilişkin tanımın bir araya getirilmesiyle Kurum tarafından oluşturuldu. Bu çalışmanın amacının, kişisel verilerin korunmasıyla ilgili başlıca kavramları bir araya getirerek ilgililere erişim kolaylığı sağlamak olduğu belirtildi.
Terimler sözlüğüne buradan ulaşabilirsiniz.
