Kişisel Verileri Koruma Kurumu 04.05.2018 tarihinde websitesinden ilk ihlal bildirimini yayımladı.

6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklinde bir düzenlemeyi içermektedir.

Araç çağırma hizmeti sunmak üzere Türkiye’deki faaliyetlerini Careem Networks Teknoloji A.Ş. aracılığıyla yürüten Dubai merkezli Careem Inc. (Şirket) unvanlı şirket 18.04.2018 tarihinde ihlali bildirdi.

İhlal bildirimdeki bilgiler;

  1. Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018 tarihinde yetkisiz üçüncü kişilerce erişim sağlandığı, (yapılan inceleme sonucunda konuya ilişkin tespitlerin 21.03.2018 tarihinde ortaya çıktığı)
  2. Şirket tarafından adli bilişim incelemesi başlatıldığı ve önde gelen bir siber güvenlik şirketinin konu ile ilgili görevlendirildiği,
  3. Söz konusu yetkisiz erişimden Türkiye’de mukim 103.337 müşteri ile 900 araç sürücüsünün etkilendiği,

şeklinde.

Yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin;

  • isim,
  • telefon numarası,
  • kredi kartı bilgisi,
  • e-posta adresi,
  • kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile

Araç sürücülerine ait;

  • isim
  • telefon numarası,
  • araç modeli,
  • plaka numarası,
  • yolculuk özeti,
  • uluslararası banka hesap numarası,
  • T.C. kimlik numarası ve
  • ehliyet numarası

bilgilerinin olabileceğini Kurul’a bildirdi.

Yapılan değerlendirmeler neticesinde,

Kişisel Verileri Koruma Kurulunun Kararı ile Careem Inc. nezdinde gerçekleşen söz konusu yetkisiz erişimin Kurumun internet sayfasında ilan edilmesine karar verildi.

Not: Kurul’un daha önce yayımlamış olduğu 8 karar özetinden birisi de Kişisel Veri Güvenliği İhlalinin Geç bildirilmesine ilişkindi.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin, veri sorumlusu tarafından en kısa sürede bildirilmemesi nedeniyle veri sorumlusu hakkında idari yaptırım uygulanmasına karar verildi.

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirildiği kararda ifade edilmişti.

Posted by Oğuz Kartöz

Oğuz Kartöz, Marmara Üniversitesi Hukuk Fakültesinden mezun oldu. İstanbul Üniversitesi'nde Kamu Hukuku alanındaki yüksek lisans eğitimine devam ediyor. Kişisel Veriler, Mülkiyet Hakkı, AYM ve AİHM, Siber güvenlik, E-ticaret ve Sözleşmeler Hukuku alanlarıyla ilgilenmektedir. 2012 yılında Genç Fütüristler derneğinin üyesi olarak çeşitli projelerin kurucu ekipleri arasında yer alma fırsatı bulmuştur. Genç Fütüristler Yönetim Kurulu üyesi olarak görev yapmaktadır. Gelecek trendlerinin ve teknolojik gelişmelerin felsefi, sosyal ve hukuksal yönleriyle ilgilenmektedir.

All Posts

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir