Veri sorumlusu sıfatına haiz olan AstraZeneca İlaç Sanayi ve Ticaret Limited Şirketi tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilen ve 12 Ağustos 2022 tarihinde Kurumun internet sitesinden paylaşılan veri ihlal bildirimde özetle;
- “Çalışan adaylarının, “AstraZeneca”daki açık pozisyonlara başvurabilmelerini sağlayan, veri işleyen (Workday Limited) sisteminde ihlal gerçekleştiği,
- Bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ilişkin verileri izlemek adına bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, değişkenin değerinin, harici kariyer sitesi için HTML kaynağını inceleyen, örneğin tarayıcının “Kaynağı Görüntüle” özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği,
- Bahse konu durumdan dolayı, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 arasında ve/veya 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 arasında iş başvurusu yapan çalışan adaylarının kişisel verilerinin kısa süreliğine erişilebilir hale geldiği,
- İhlalin 31 Temmuz 2022 tarihinde tespit edildiği,
- İhlalden etkilenen kişi grubunun çalışan adayları olduğu
- İhlalden tahmini 981 kişinin etkilendiği
- İhlalden etkilenen kişisel verilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut veya önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları olduğunun tahmin edildiği, buna ek olarak, çalışan adaylarının veri işleyen sistemi üzerinden gönüllü olarak da kişisel URL, iş deneyimi, eğitim, dil, yetenekler ve özgeçmiş verilerini sağlayabildiği” şeklinde bilgilere yer verilmiştir.
Sonuç:
Kurumun internet sitesinden paylaşılan mezkûr veri ihlal bildirimde görüldüğü üzere; veri sorumlusunun yerine getirme gereken idari tedbirlerden olan veri sorumlusu şirket başka bir şirketten veri işlemeleri amacıyla hizmet alırken tanzim ettiği sözleşmede bazı önemli hususlara dikkat etmelidir. Veri sorumlusu, hizmet alacağı şirkette ilk olarak kişisel verilerin korunması konusunda Kanun’a ve ikincil mevzuatta öngörülen gerekli tedbirlerin sağlanmış olup olmadığını kontrol etmelidir. Sonrasında sözleşmede yazılı olarak;
- Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun hareket edeceğine ilişkin hüküm,
- Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağına dair hüküm,
- Herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğuna dair hüküm ve veri güvenliğine ilişkin alınması gereken tüm tedbirlerin ihtiva etmesi önem arz etmektedir.
Veri sorumlusu yukarıda asgari olarak sayılan hükümleri sözleşmeye dercetmeli ve sözleşmeye uyumluluğu sağlandığını, veri işleyen eksiksiz olarak idari ve teknik tedbirleri alıp almadığı konusunda gerekli denetimleri periyodik olarak sağlayarak veri güvenliği sağlamalıdır.
Veri işleme faaliyetiyle ilgili önemli olan hususlardan birisi verilerin depolandığı fiziksel/elektronik yerin güvenliğidir. Bu kapsamda mezkûr veri ihlal bildiriminde veri işleyen şirketin verilerin tutulduğu alan olan web sitesinde gerekli tüm güvenliği sağlayamadığı açıktır. Veri sorumlusu güvenliğin sağlanabilmesi için gereken tüm tedbirleri bilgi birikimi, tecrübesini ortaya koyarak veri işleyene iletmesi, oluşabilecek veri ihlallerinden doğabilecek mağduriyetin azalması konusunda çok önemli bir husustur. Ayrıca web sitesi gibi elektronik ortamda tutulan verilerin maskelenerek veya diğer tekniklerle tutulması verisi işlenen gerçek kişi için mağduriyetin en aza indirilebilmesinde önemi yadsınamaz şekilde gerçektir.
Veri işlenirken dikkat edilmesi gereken temel ilkelerden biri işlenen verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu ilke çerçevesinde veri sorumluları/işleyenler işledikleri verilerde minimize etmeleri gerekmektedir.
Veri İhlal Bildirimi Kararına bu link üzerinden ulaşabilirsiniz:
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.