6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12/5 amir hükmü uyarınca veri sorumlusunun işlediği kişisel verilerin hukuka aykırı yollarla üçüncü kişiler tarafından ele geçirilmesin durumuna müteakip olarak en kısa sürede uygun yollarla ilgilisine ve Kişisel Verileri Koruma Kuruluna (“Kurul”) bildirmesi yükümlülüğü bulunmaktadır.
Veri sorumlusu sıfatına haiz olan Flo Mağazacılık ve Pazarlama A.Ş. hakkında ilgili kişinin şikayeti sonucunda Kişisel Verileri Koruma Kurumu’na (“Kurum”) yapılan ihbar bildiriminin değerlendirilmesi, 27 Eylül 2022 tarihinde Kurum’un internet sitesinden;
- “Veri sorumlusuna ait instreet.com.tr internet sayfasının kullanıcılarına ait kişisel verilerin herkes tarafından ulaşılabilir bir internet sayfasında yayınlandığı,
- İhlalden etkilenen kişisel verilerin ad, soyad, kullanıcı adı, kullanıcı şifresi ve bu kullanıcılardan 380 kişiye ait olmak üzere kredi kartı ilk 4 ve son 4 hanesiyle bu kredi kartlarının hangi bankaya ait olduğunu gösteren bilgiler olduğu,
- İhlalden etkilenen ilgili kişi sayısının yaklaşık 3500 kişi olabileceği” tespitlerini içerek şekilde paylaşılmıştır.
Mukim paylaşımda ayrıca yapılan ihbar bildirimi sonucunda Kurul tarafında re’sen inceleme başlatıldığı ve veri sorumlusu kullanıcı bilgilerinin yayınlandığı internet sitesinde yer alan kişisel veri işleme faaliyetlerinin durdurulabilmesini teminen Sulh Ceza Hakimliğine müracaat edileceğine dair bilgiler mevcuttur.
Veri İhlal Bildirimi Kararına bu link üzerinden ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/7453/Kamuoyu-Duyurusu-Ilgili-Kisi-Sikayeti-Uzerine-Flo-Magazacilik-ve-Pazarlama-A-S-
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.
Pursuant to the commanding provision 12/5 titled Obligations Regarding Data Security of the Personal Data Protection Law No. 6698 (“Law”), following the case of the unlawful seizure of personal data by third parties, It has an obligation to notify the Board of Directors (“Board”).
Having the title of data controller, Flo Mağazacılık ve Pazarlama A.Ş. Evaluation of the notification made to the Personal Data Protection Authority (“Authority”) as a result of the complaint of the person concerned, on the Authority’s website on September 27, 2022;
- “The personal data of the users of the instreet.com.tr website belonging to the data controller are published on a publicly accessible website,
- The personal data affected by the breach is the name, surname, user name, user password and the first 4 and last 4 digits of the credit card belonging to 380 of these users, and the information showing which bank these credit cards belong to,
- The number of relevant persons affected by the violation may be approximately 3500”.
In the resident sharing, there is also information that, as a result of the notification made, an ex officio investigation is initiated by the Board and an application will be made to the Criminal Judgeship of Peace in order to stop the personal data processing activities on the website where the data controller user information is published.
You can reach the Data Breach Notification Decision via this link:https://www.kvkk.gov.tr/Icerik/7453/Kamuoyu-Duyurusu-Ilgili-Kisi-Sikayeti-Uzerine-Flo-Magazacilik-ve-Pazarlama-A-S-
To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.