Veri sorumlusu sıfatına haiz olan Surtaş Otomotiv ve Servis Hizmetleri Sanayi Ticaret Limited Şirketi tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilen ve 21 Temmuz 2022 tarihinde Kurumun internet sitesinden paylaşılan veri ihlal bildirimde özetle;
- “İhlalin 16.07.2022 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- İhlalin veri sorumlusu çalışanına gönderilen SMS onay kodunun kendisini yetkili olarak tanıtan kişiye telefonla bildirmesi üzerine veri sorumlusunun online işlemler sisteminin ve akabinde çalışanın telefonundaki anlık bir haberleşme uygulamasının kontrolünün ele geçirilmesi suretiyle gerçekleştiği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik (isim-soy isim), iletişim (telefon numarası), görsel ve işitsel kayıtlar (profil fotoğrafı) olduğu,
- İhlalden etkilenen kişi sayısının tahmini 1200 olduğu” şeklinde bilgilere yer verilmiştir.
Sonuç:
Kurumun internet sitesinden paylaşılan mezkûr veri ihlal bildirimde görüldüğü üzere; veri sorumlusunun yerine getirme gereken idari tedbirlerden olan çalışan personele Kişisel Verilerin Korunması eğitimi verilerek personelin bu konuda bilgili olması sağlanmalıdır. Personele sağlanan eğitimin düzenli aralıklarla tekrar edilerek personelin bilgisinin taze ve güncel olması gerekmektedir. Veri işlenirken dikkat edilmesi gereken temel ilkelerden biri işlenen verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu ilke çerçevesinde veri sorumluları işledikleri verilerde minimize etmeleri gerekmektedir.
Veri sorumlusu alması gereken idari ve teknik tedbirleri Kurumun belirlediği standartlar ölçüsünde alınması yaşanabilecek potansiyel veri ihlal riskini en aza indirgenmesinde büyük önem arz etmektedir. Alınan idari ve teknik tedbirlerin kontrolü, güncellenmesi gibi konulara dikkat edilmesi, işlenen verilerin minimize edilerek ve maskeleyerek işlenmesi konuları potansiyel veri ihlallerinde hem ilgili kişi adına hem de veri sorumlusu adına yaşanan mağduriyet boyutunun azalmasını sağlayacağından bu konulara azami özenle dikkat edilmelidir.
Veri İhlal Bildirimi Kararına bu link üzerinden ulaşabilirsiniz:
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.