Veri sorumlusu sıfatına haiz olan Tofisa Tekstil Sanayi ve Ticaret Limited Şirketi tarafından Kişisel Verileri Koruma Kurumu(“Kurum”)’na bildirilen ve 29 Haziran 2022 tarihinde Kurumun internet sitesinden paylaşılan veri ihlal bildirimde özetle;
- Veri sorumlusu çağrı merkezine müşterilerden gelen aramalarda, teslim almadıkları kargo bedellerine ilişkin icra takibi başlayacağına ilişkin çeşitli hukuk bürolarından mesaj ve arama aldıkları bilgisinin verildiği,
- Yapılan kontroller sonucunda çağrı merkezini arayanların, veri işleyen (Dolunay Kargo Lojistik Otomotiv İnşaat Sanayi ve Ticaret Limited Şirketi) ile paylaşılan kişiler olduklarının tespit edildiği,
- Veri sorumlusunun veri işleyen ile iletişime geçmek istediği ancak başarısız olduğu,
- Veri sorumlusu tarafından ilgili kişilere ait isim, soy isimleri, telefon numaraları, numaraları, e-posta adreslerinin veri işleyen ile paylaşılmakta olduğu, ilgili kişilerin isim, soy isim ve telefon numaralarının hukuka aykırı olarak kullanıldığı,
- İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişi sayısının 42.373 olduğu, bu sayının veri işleyen kayıtlarında bulunan kargo teslimi yapılmayan kişi sayısı olduğu
bilgilerine yer verilmiştir.
Sonuç:
Kurumun internet sitesinden paylaşılan mezkûr veri ihlal bildirimde görüldüğü üzere; Veri sorumlusunun kendi adına veri işleme yetkisi verdiği/vereceği ya da işlediği kişisel veriyi paylaştığı durumlarda veri işleyen sıfatına haiz şirket/kişilerin de gerekli idari ve teknik tedbirleri sağlamış olması konusuna dikkat etmesi gereklidir. Veri sorumlusu alması gerektiği idari tedbirler kapsamında yetki vereceği kişilerle yaptığı sözleşmelerde; sözleşmenin yazılı şekilde yapılmasına, verinin sadece veri sorumlusunun talimatları doğrultusunda ve sözleşmede belirtilen veri işleme amaç ve kapsamına göre hareket edilmesi gibi özel maddelerin bulunması gereklidir. Ayrıca veri sorumlusu, yetki vereceği veri işleyenin veri imha ve saklama politikalarının kendininkiyle uyumlu olmasına ve paylaşılan/işlenen veriler hakkında gizlilik taahhütnamelerini konularına da büyük bir özenle dikkat etmelidir.
Veri sorumlusu, yetki vereceği veri işleyen konusunda yukarıda gösterilen idari tedbirlerin dışında gerekli diğer teknik ve idari tedbirlerin alınmış olduğunu kontrolünü sağlamalıdır. Bu durum oluşabilecek veri ihlal risklerini en aza indirerek yaşanabilecek mağduriyetlerin engellenmesi için önem arz etmektedir.
Veri İhlal Bildirimi Kararına bu link üzerinden ulaşabilirsiniz:
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.