KVKK Bülteni

Haziran Ayı KVKK Bülteni

KİŞİSEL VERİLERİN KORUNMASI ALANINDA HAZİRAN AYINDA NELER OLDU?

5 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI

  • Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş.
  • Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi
  • İstanbul Gedik Üniversitesi
  • TCO Turkey Mücevherat Ticareti Limited Şirketi
  • BeiGene, Ltd.

 

  • Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş. tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) Veri sorumlusu sistemlerine gerçekleştirilen siber saldırı (fidye yazılımı saldırısı) neticesinde ihlalin meydana geldiği, (ii) İhlalin 25.05.2025 tarihinde gerçekleştiği ve aynı gün tespit edildiği, (iii) Siber saldırı neticesinde verilerin dışarıya aktarılıp aktarılmadığının henüz tespit edilemediği, (iv) İhlalden etkilenen ilgili kişi gruplarının; aboneler/üyeler olduğu, (v) Veri ihlalinden etkilenen kişi/kayıt sayısının 1.268.222 olduğu ancak sistem içerisinde çok sayıda mükerrer kayıt bulunması sebebiyle ihlalden etkilenen gerçek kişi sayısının muhtemelen çok daha az olduğu, (vi)İhlalden etkilenen kişisel verilerin; ad, soyadı, T.C. kimlik numarası, doğum tarihi, cinsiyet, telefon numarası, e-posta adresi, açık adres, meslek bilgisi (öğretmen/ polis/öğrenci vb.), plaka no, fotoğraf ve sağlık bilgileri (engellilik bilgisi, engellilik oranı) olduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.

  • Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi

Veri sorumlusu sıfatını haiz Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) İhlalin 17.01.2025-18.01.2025 tarihleri arasında gerçekleştiği ve 30.05.2025 tarihinde tespit edildiği, (ii) Veri sorumlusunun da dahil olduğu Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişi/kişilerce elde edilmesi ve bu hesap kullanılarak veri sorumlusunun müşterilerine ait kişisel verilerin ele geçirilmesi neticesinde ihlalin gerçekleştiği, (iii) İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler olduğu, (iv) İhlalden etkilenen ilgili kişi sayısının 25.737 olduğu, (v) İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi olduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.

1.3. İstanbul Gedik Üniversitesi

Veri sorumlusu sıfatını haiz İstanbul Gedik Üniversitesi tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) İhlalin, veri sorumlusu adına veri işleyen şirketin sistemlerine yetkisiz erişim gerçekleştirilmesi neticesinde gerçekleştiği, (ii) İhlalin 13.05.2025-14.05.2025 tarihleri arasında gerçekleştiği ve 14.05.2025 tarihinde tespit edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar ve öğrenciler olduğu, (iv) İhlalden etkilenen ilgili kişi sayısının 23.269, kayıt sayısının ise 209.421 olduğu, (v) İhlalden etkilenen kişisel verilerin; ad, soyadı, kullanıcı adı, maskelenmiş ve yalnızca son dört hanesi görünür biçimde T.C. kimlik numarası, e-posta adresi, kurum-departman bilgileri ve kullanıcının trafik verileri olduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.

 

1.4. TCO Turkey Mücevherat Ticareti Limited Şirketi

Veri sorumlusu sıfatını haiz TCO Turkey Mücevherat Ticareti Limited Şirketi tarafından Kurula iletilen veri ihlali bildiriminde özetle;(i) İhlalin veri sorumlusunun ABD merkezli bağlı şirketi Tiffany and Company şirketinin bazı sistemlerine yetkisiz bir üçüncü tarafça erişim sağlanmasıyla gerçekleştiği,(ii) İhlalin 12.05.2025-16.05.2025 tarihleri arasında gerçekleştiği ve 04.06.2025 tarihinde tespit edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve müşterileri olduğu, (iv) İhlalden etkilenen kişi ve kayıt sayısının belirlenmesi için veri sorumlusu tarafından çalışmaların sürdürüldüğü,(v)İhlalden etkilenen kişisel verilerin ad, iletişim bilgileri, unvan, yönetici bilgileri, kullanıcı adları ve karma şifreler dahil olmak üzere çalışan ve danışman şirket dizini verilerini içerdiğinin belirlendiği, ayrıca devam eden soruşturmaya dayanılarak; etkilenen kişisel verilerin müşteri adları, iletişim bilgileri, yaş, satış verileri ve cinsiyet bilgilerini de içerme ihtimalinin bulunduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.

 

1.5. BeiGene, Ltd.

Veri sorumlusu sıfatını haiz BeiGene, Ltd.tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) 16 Haziran 2025 tarihinde, sınırlı sayıda kurumsal dosyanın iki harici dosya paylaşım platformuna (pastebin.com ve swisstransfer.com) yüklendiğinin tespit edildiği, (ii)Söz konusu dosyaların, klinik çalışmaların planlanması ve takibi için kullanılan verileri içerdiği, (iii) İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve hastalar olduğu, (iv) İhlalden Türkiye’den 17 çalışan ve 450 hasta olmak üzere 467 kişinin etkilendiği, (v) İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim ve sağlık bilgileri olduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.

 

  1. Ürün Ve Hizmet Sunumu Sırasında İlgili Kişilere Sms İle Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun İlke Kararı Yayınlandı

Kişisel Verileri Koruma Kurulu, 10.06.2025 tarih ve 2025/1072 sayılı İlke Kararı ile, ürün ve hizmet sunum süreçlerinde SMS ile gönderilen doğrulama kodlarının, ilgili kişilerin açık rızası olmaksızın kişisel veri işleme ve ticari elektronik ileti gönderimi amacıyla kullanıldığı yönündeki uygulamaları değerlendirmiştir.

Kararda öne çıkan tespit ve yükümlülükler özetle şu şekildedir: (i) Doğrulama kodunun amacına ve kişisel veriler açısından doğuracağı sonuçlara ilişkin ilgili kişilere aydınlatma yapılması zorunludur. (ii) Farklı hukuki işleme faaliyetlerinin (üyelik onayı, açık rıza, ticari ileti onayı vb.) tek bir işlemle birleştirilmesine son verilmelidir. (iii) Açık rızaya dayalı işlemlerde, ilgili kişilere seçenek sunularak ayrı ayrı açık rıza alınmalı ve açık rıza Kanun’daki unsurları taşımalıdır. (iv) Ticari elektronik ileti gönderimi için açık rıza alınması, ürün veya hizmetin sunumu için zorunlu koşul gibi gösterilmemelidir. (v) Bu ilkelere aykırı uygulamaların tespiti halinde, veri sorumluları hakkında KVKK’nın 18. maddesi kapsamında yaptırım uygulanabilecektir. İlgili İlke Kararı, 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanmıştır. İlgili ilke karara buradan ulaşabilirsiniz.

 

  1. Kişisel Verileri Koruma Kurumu İdari Para Cezalarını Artık e-Tebligat Sistemi Üzerinden Tebliğ Edecek

 

Kişisel Verileri Koruma Kurumu (“Kurum”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kabahatler” başlıklı 18’inci maddesi kapsamında uygulanan idari para cezalarının tebliğ usulünde önemli bir değişikliğe gidildiğini duyurdu.

 

Yapılan duyuruya göre, artık e-tebligat sisteminde vergi mükellefi kaydı bulunan veri sorumlularına uygulanacak idari para cezaları, Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı’nın e-tebligat uygulaması üzerinden elektronik ortamda tebliğ edilecek.

Bu sistem sayesinde Gelir İdaresi Başkanlığı’nın e-tebligat sistemi üzerinden veri sorumlularına iletilecek olan idari para cezaları, ilgili veri sorumlusunun e-Tebligat adresine gönderilecek ve 5. günün sonunda tebliğ edilmiş sayılacak.

Ancak, e-Tebligat sisteminde vergi mükellefiyeti kaydı bulunmayan ya da kaydı silinmiş olan veri sorumlularına yönelik tebligatlar, 7201 sayılı Tebligat Kanunu hükümlerine göre yapılmaya devam edecek.

Kurum’un yeni uygulamasıyla birlikte, idari para cezalarının elektronik ortamda daha hızlı şekilde tebliği mümkün hale gelmiştir. Bu nedenle, veri sorumlularının e-tebligat sistemlerini düzenli olarak takip etmeleri büyük önem arz etmektedir. İlgili duyuruya buradan ulaşabilirsiniz.

  1. Kişisel Verileri Koruma Kurumu Etkinlikleri ve Duyuruları

 

  • KVKK Bülten’in “Yapay Zekaya Genel Bakış” Konulu 8.Sayısı Yayımlandı

Bülten’in yeni sayısında; Kurum’un yapay zekâ konusundaki çalışmaları, üretken yapay kullanımı sırasında kişisel verilerin korunmasına yönelik dikkat edilmesi gereken hususlar ve Avrupa Birliği’nin yapay zekaya ilişkin düzenlemelerinin getirdiği yenilikler ele alındı. Bültene buradan ulaşabilirsiniz.

 

  • “Dijital Kimlik Düzenlemelerinde Kişisel Verilerin Korunması ve Mahremiyet” Konulu Çarşamba Semineri Düzenlendi

Seminerde; dijital kimlik, dijital kimlik yönetim modelleri, Avrupa Birliği’nin dijital kimlik ve kimlik doğrulama politikaları ve yönergeleri, dijital kimlik düzenlemeleri ve kişisel verilerin korunması konularına ilişkin bilgiler paylaşıldı.

  • “6698 Sayılı Kanun Kapsamında Veri İhlal Bildirimleri” Konulu Çarşamba Semineri Düzenlendi

Seminerde; 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri ihlal bildirimine ilişkin usul ve esaslar konusunda bilgiler paylaşıldı.

  • Kurum ile Ankara Hacı Bayram Veli Üniversitesi Arasında İş Birliği Protokolü İmzalandı

Kişisel Verileri Koruma Kurumu ile Ankara Hacı Bayram Veli Üniversitesi arasında kişisel verilerin korunması, veri mahremiyeti ve veri güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapmak, ulusal ve uluslararası projeler yürütmek ile eğitim ve öğretim konularında iş birliğini temin etmek amacıyla protokol imzalandı.

Protokol kapsamında; ortak etkinlikler, farkındalık artırmaya yönelik faaliyetler, ulusal veya uluslararası projeler başta olmak üzere Kurum ile Ankara Hacı Bayram Veli Üniversitesi arasında ortak çalışmalar yürütülmesi hedeflenmektedir.