6698 sayılı Kişisel Verileri Koruma Kanunu’nun(“Kanun”) Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12/5 amir hükmü uyarınca veri sorumlusunun işlediği kişisel verilerin hukuka aykırı yollarla üçüncü kişiler tarafından ele geçirilmesin durumuna müteakip olarak en kısa sürede uygun yollarla ilgilisine ve Kişisel Verileri Koruma Kuruluna (“Kurul”) bildirmesi yükümlülüğü bulunmaktadır.
Türkiye Elektrik Dağıtım A.Ş.
Veri sorumlusu sıfatına haiz olan Türkiye Elektrik Dağıtım A.Ş tarafından Kurula bildirilen ve 7 Temmuz 2022 tarihinde Kurulun internet sayfasından paylaşılan veri ihlal bildirimde özetle;
- “Veri sorumlusuna ait bir çalışanın kullanıcı adı ve parolasının belirlenemeyen bir şekilde ele geçirildiği ve o kullanıcı hesabı ile sistemde kayıtlı diğer kullanıcı verilerinin bir e-posta adresine gönderim yolu ile sızdırıldığı,
- İhlalin, Bakanlık Siber Güvenlik Operasyon Merkez tarafında Dark Web’de yapılan istihbarat çalışmaları sırasında tespit edildiği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve vatandaşlar olduğu,
- İhlalden etkilenen kişisel verilerin ad, soyad, e-posta ve cep telefonu numarası olduğu,
- İhlalden etkilenen kişi sayısının 208.000 olduğu” bilgilerine yer verilmiştir.
Sonuç:
Yukarıda mezkûr veri ihlal bildirimde bulunan şirketin kritik altyapı hizmeti sağlıyor olduğundan işlediği kişisel verilerin korunmasına ekstra özen göstermesi gerekmektedir. Kanun’da, ilgili yönetmeliklerde ve Kişisel Verilerin Güvenliği Rehberi’nde gösterilen idari ve teknik tedbirlere harfiyen uyulması gerekmektedir. Gösterilen idari tedbirlerden çalışanların kullanıcı adı ve parolalarını güvenli bir şekilde saklayabilmesi için gerekli; eğitimin, ortamın verilmesi ve teknik tedbirlerden işlenen kişisel verilere erişim yetkisinin kişilerin işleri çerçevesinde gerektiği kadar ulaşım sağlayabilmesi dikkat edilmelidir. Ayrıca böylesine kritik bir hizmet sunan şirketin işleyeceği çokça kişisel veri olacağından dolayı olası veri ihlallerinde üçüncü kişiler tarafından ele geçirilen kişisel verilerin bir anlam ifade etmemesi için kişisel verileri maskeleyerek tutabilir. Bu durum veri işlenen ilgili kişiler adına bir mağduriyet yaratılmaması açısından önemli bir husustur.
İlgili Veri İhlal Bildirimi: https://www.kvkk.gov.tr/Icerik/7395/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Turkiye-Elektrik-Dagitim-A-S-
Knauf İnşaat ve Yapı Elemanları San. ve Tic. A.Ş ile Knauf Insulation Izolation San. ve Tic. A.Ş.
Veri sorumlusu sıfatlarına haiz olan Knauf İnşaat ve Yapı Elemanları San. ve Tic. A.Ş ile Knauf Insulation Izolation San. ve Tic. A.Ş şirketleri tarafında Kurula bildirilen ve 7 Temmuz 2022 tarihinde Kurulun internet sayfasında paylaşılan veri ihlal bildirimde özetle;
- “Veri sorumlularının hissedarı olan veri işleyen Knauf Gips KG’in Almanya sunucularına 29.06.2022 tarihinde fidye yazılımı saldırısı gerçekleştirildiği,
- İhlalden etkilenen kişi sayısı henüz tespit edilememiş olmakla birlikte herhangi bir veri ihlalinin yaşanmamış olmasının da muhtemel olduğu; zira sorumlu olunan kişisel verilerin bulunduğu sunucuya erişim sağlanmamış olmasının ihtimal dahilinde olduğu,
- Veri sorumlularının e-posta hizmetinin bir bölümü, websitesi vasıtasıyla yürütülen süreçlerin (pazarlama, iletişim formu süreci, iş başvuru süreci vb) verileri ile iş/staj başvuru/kabul ve özlük dosyası oluşturma, muhasebe ve AGİ, izin/ mesai takip, sözleşme akdetme, mal/hizmet alım ve satış, bayilik başvuru/kabul gibi süreçlerde toplanan veriler veri işleyen sunucularında barındırıldığından ilgili kişilere ilişkin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, mesleki deneyim, finans, pazarlama, görsel ve işitsel kayıtlar, sendika üyeliği, diğer, felsefi inanç, din, mezhep ve diğer inançlar, ceza mahkumiyeti ve güvenlik tedbirleri ve sağlık bilgilerinin veri ihlalinden etkilenmiş olma ihtimali bulunduğu; etkilenen verilere dair detayların teknik çalışma neticesinde tespit edileceği,
- İhlalden etkilenen ilgili kişi grubu henüz tespit edilememiş olmakla birlikte veri işleyen sunucusunda verisi barındırılan ilgili kişi gruplarının: ticari ilişki kurulan gerçek kişi veya tüzel kişi ilgilisi, ziyaretçi, başvuruda bulunan kişi, çalışan adayı, çalışan adayı referansı, stajyer adayı, stajyer, tedarikçi çalışanı, sözleşme yapılan tüzel kişi yetkilisi, bayi çalışanı, çalışan ailesi olduğu” bilgilerine yeri verilmiştir.
Sonuç:
Yukarıda mezkûr veri ihlal bildirimde bulunan şirketin fidye yazılım saldırılarına karşı gerekli önlemleri alması ve alınan önlemlerin periyodik aralıklarla kontrol edilerek herhangi bir eksiliğin fark edilmesi anında hemen giderilmesi oluşabilecek olası veri saldırılarına karşı en etkili yoldur. Ayrıca ihlal bildirimden belirtildiği üzere; ihlalden etkilenme ihtimali bulunan veri kategorilerinin özel ve normal kişisel veri kategorilerinin aynı sunucuda aynı güvenlik önlemiyle tutulması, Kanunun genel ilkelerinde belirtilen İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı halde fazlaca verinin işlenmesi verisi işlenen ilgili kişiler için önemli derecede mağduriyet oluşturmaktadır. İhlalden etkilenebilecek kişi gruplarının sayımında çalışanların ailesinin dahi bulunması Kanunun genel ilkelerine aykırılık oluşturacak ve ilgili şirketle ilgili olmayan kişilerin dahi mağduriyet yaşamasına sebebiyet verecektir.
İlgili Veri İhlal Bildirimi: https://www.kvkk.gov.tr/Icerik/7394/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Knauf-Insaat-ve-Yapi-Elemanlari-San-ve-Tic-A-S-ile-Knauf-Insulation-Izolation-San-ve-Tic-A-S
Meklas Otomotiv San. ve Tic. A.Ş.
Veri sorumlusu sıfatına haiz olan Meklas Otomotiv San. ve Tic. A.Ş tarafından Kurula bildirilen ve 7 Temmuz 2022 tarihinde Kurulun internet sayfasından paylaşılan veri ihlal bildirimde özetle;
- “İhlalin fidye yazılımı saldırısı ile verilerin bir kısmının şifrelenmesi suretiyle gerçekleştiği,
- İhlalin 29.06.2022 tarihinde gerçekleştiği ve aynı gün veri sorumlusuna iletilen e-posta ile tespit edildiği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişi ve kayıt sayısının en az 142 olduğu, sunuculara kısıtlı erişim sağlanması nedeniyle ihlalden etkilenen kişi sayısının tam olarak tespit edilemediği,
- İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, özlük, işlem güvenliği, finans, pazarlama, görsel ve işitsel kayıtlar; özel nitelikli kişisel veri kategorilerinin ise sağlık bilgileri, felsefi inanç, din, mezhep bilgileri olduğu,
- İlgili kişilerin veri ihlali ile ilgili https://www.meklas.com/tr/kvkk/ adresi aracılığıyla bilgi alabileceği” bilgilerine yer verilmiştir.
Sonuç:
Yukarıda mezkûr veri ihlal bildirimde bulunan şirketin fidye yazılım saldırılarına karşı gerekli önlemleri alması ve alınan önlemlerin periyodik aralıklarla kontrol edilerek herhangi bir eksiliğin fark edilmesi anında hemen giderilmesi oluşabilecek olası veri saldırılarına karşı en etkili yoldur. İhlalde etkilenen veri kategorilerinde özel nitelikli kişisel verilerin de bulunması, Kanunun genel ilkelerinden kişisel verinin işlendiği amaçla bağlantılı sınırlı ve ölçülü olması ilkesine ilgili iş bağlamında aykırılık oluşturmaktadır. Veri sorumlusunun gereğinden fazla veri işlemesi durumu ilgili kişiler için gereğinden fazla şekilde mağduriyet oluşturur.
Veri sorumluları, Kanun’da, ilgili yönetmelik ve rehberlerde gösterildiği üzere tüm idari ve teknik tedbirleri büyük bir özenle alarak, düzenlik zaman aralıklarıyla kontroller sağlayarak ve oluşabilecek zafiyetleri gidererek, muhtemel veri ihlal durumlarına karşı riski en aza indirger ve hem şirket adına hem de verisi işlenen ilgili kişiler adına mağduriyet oluşmasını engellemiş olur.
İlgili Veri İhlal Bildirimi: https://www.kvkk.gov.tr/Icerik/7393/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Meklas-Otomotiv-San-ve-Tic-A-S-
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.