2019

KVKK Bülteni – Mart 2019

Bilgi Teknolojileri ve İletişim Kurumuna bağlı daireler Mart ayı içerisinde bir takım kararlar yayımladı.

Gündem Konusu: İdari Yaptırım (Para Cezaları-Vodafone Net)

KARAR : Tüketici Hakları Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

Kurumumuza intikal eden, İzmir ve Adana Cumhuriyet Başsavcılıkları müzekkereleri kapsamında tüketicilerin bilgileri ve rızaları dışında adlarına yapılan abonelikler hakkında yürütülen soruşturmaya istinaden;

05.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’nun 4, 6, 12 ve 60’ıncı maddeleri ile mülga Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği’nin 15’inci maddesinin altıncı fıkrası, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin 19’uncu maddesinin birinci fıkrası, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin 12’nci maddesinin birinci fıkrasının (a) bendi ve ilgili diğer mevzuat kapsamında;

  1. Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği’nin 15’inci maddesinin altıncı fıkrasına aykırı olarak, yetkili bayisi olan Dante Telekomünikasyon Tel. Pazarlama ve Dağıtım Ticaret Ltd. Şti. tarafından 625 adet usulsüz abonelik yapılan ve idari sürece konu beş abonelik sözleşmesinin aslını muhafaza etmeyen Vodafone Net İletişim Hizmetleri AŞ. hakkında, 15.02.2014 tarihli ve 28914 sayılı Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin 12’nci maddesinin birinci fıkrasının (a) bendinde yer alan “…a) İşletmecinin; …8) Abonelik sözleşmesi ve/veya aboneye ait kimliğini ispata yarar herhangi bir belgenin bulunmaması ve/veya muhafaza edilmesi gibi hususlardaki yükümlülüklerini ihlal etmesi,…” hükmü ve aynı Yönetmeliğin 44’üncü maddesinde yer alan ölçütler çerçevesinde;

2015 yılı net satış tutarı (674.871.480,66TL)’nın onbinde beşi (%0,05)’i oranında idari para cezası uygulanması,

  1. Vodafone Net İletişim Hizmetleri AŞ. tarafından, kişilerin bilgisi ve rızası dışında adlarına açılan hatlar nedeniyle faturalandırılan ve bu faturalara ödeme yapan hak sahiplerinin ödediği ücretler (19 aboneye ait toplam 7.422,84TL)’in ilgili mevzuat kapsamında tüketicilere iade edilmesi

hususlarına karar verilmiştir.

Gündem Konusu: 2018 Yılı Üçüncü Dönem Hizmet Kalitesi Bildirimleri (Vodafone Telekomünikasyon AŞ)

KARAR : Spektrum İzleme Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

Vodafone Telekomünikasyon AŞ’nin (Vodafone), 2018 yılı üçüncü dönem bildirimlerine istinaden; Elektronik Haberleşme Sektöründe Hizmet Kalitesi Yönetmeliği’nin 9’uncu maddesinin birinci fıkrası, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin 15, 25, 44 ve 46’ncı maddeleri, GSM Mobil Telefon Hizmetlerinde Hizmet Kalitesi Ölçütlerinin Elde Edilmesine İlişkin Tebliğ’in 20’nci maddesinin birinci fıkrası ve 3N Mobil Haberleşme Hizmetlerinde Hizmet Kalitesi Ölçütlerinin Elde Edilmesine İlişkin Tebliğ’in 15’inci maddesinin birinci fıkrası uyarınca;

  1. Gümüşhane ilinin Şiran ilçesinde, GSM mobil telefon hizmetine ilişkin olarak, “Arama Başarısızlık Oranı” ölçütü ile ilgili hedef değerin sağlanması yükümlülüğünün yerine getirilmemesi ve söz konusu ihlalin ilgili takvim yılı olan 2018 yılı içerisinde ilk kez vuku bulmasına istinaden;

– Söz konusu yerleşim yeri için Vodafone’un yazılı olarak uyarılması

– İlgili raporlama döneminde hizmet kalitesi yükümlülüklerini yerine getirmediğinin Kurum internet sayfasında bir ay süreyle duyurulması,

hususlarına karar verilmiştir.

Gündem Konusu: Uzaktan Programlanabilir SIM Teknolojileri (eSIM)

KARAR: Teknik Düzenlemeler Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

05.11.2008 tarih ve 5809 sayılı Kanun’un 4’üncü, 6’ncı ve 8’inci maddeleri, 5397 ile 5651 sayılı Kanun hükümleri, 22.01.2018 tarih ve 2018/DK-YED/27 sayılı Kurul Kararı ve ilgili diğer mevzuata istinaden;

Mobil işletmeci profilinin uzaktan yönetilebilmesine olanak tanıyan Uzaktan Programlanabilir SIM teknolojilerine (eUICC, eSIM/embedded SIM vb.) yönelik olarak, yenilikçi teknolojilerin ülkemize kazandırılmasını, bilgi ve haberleşme teknolojilerinde etkin rekabetin sağlanmasını, abone değişimi sürecinde yaşanabilecek olası sorunların en aza indirilebilmesini, tüketici haklarının ve kişisel verilerin korunmasını, siber güvenliğin azami seviyede sağlanmasını, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirlerin alınmasını, işletmecilerin elektronik haberleşme sistemleri üzerinden ilgili kanunlarda getirilen düzenlemelere yönelik elektronik haberleşme sistemlerinin kurulmasını teminen;

  1. Ülkemizde kullanılmak üzere imal edilen veya yolcu beraberinde getirilen ya da ithalat yolu ile piyasaya arz edilen cihazlardaki Uzaktan Programlanabilir SIM (eUICC, eSIM/embedded SIM vb.) teknolojilerinin ülkemiz sınırları içerisinde kullanılması durumunda, bu kapsamdaki modüllerin sadece ülkemizdeki mobil işletmeciler tarafından kontrol edilebilecek şekilde programlanabilir olması ve sadece ülkemizdeki mobil işletmeci profillerinin yüklenebilmesi, yabancı şirketlere ait SIM profillerinin ise ancak yurtdışı çıkışlarında gümrük hattı dışında yüklenebilmesine imkan sağlanması,
  2. Uzaktan Programlanabilir SIM teknolojilerine yönelik olarak; eSIM abonelik yönetimi (GSMA-SM – GSMA Subscription Manager) süreci ile ilgili olan profil verisi hazırlama ve güvenli yönlendirme sunucuları (SM-DP (Subscription Manager Data Preparation), SM-SR (Subscription Manager Secure Routing), SM-DP+, SM-DS (Subscription Manager Discovery Server), Veri Merkezi ve süreç içerisinde GSMA tarafından belirlenebilecek benzeri fonksiyonlara sahip sistem bileşenleri) ve yazılımlar (SM-DP, SM-SR, SM-DP+, SM-DS, Veri Merkezi ve süreç içerisinde GSMA tarafından belirlenebilecek benzeri fonksiyonlara sahip sistem bileşenleri üzerinde çalışan yazılımlar, platformlar, LPA (Local Profile Assistant) de dahil abonelik profili yönetimine ilişkin mobil uygulamalar) ile GSMA standartlarında eSIM platformu ile ilgili öngörülen diğer ekipman ve yazılımlar da dahil tüm yapı, sistem ve depolama birimlerinin, ülkemizde yetkilendirilen işletmeci tarafından veya tüm sorumluluk işletmeciye ait olmak üzere işletmecilerin belirleyeceği üçüncü kişiler tarafından ülkemiz sınırları içerisinde tesis edilmesi, birlikte çalışabilirliğinin temin edilmesi, kontrolünün sağlanması, tüm verinin ülkemiz sınırları içerisinde tutulması, tüm bu sistemlerin GSMA standartlarına uygun olarak kurulması ve ilgili dokümantasyon ve süreçlerin tamamlanarak sistemlerin 29.02.2020 tarihine kadar Kurumca belirlenecek yerde kurulması,
  3. İşletmeciler tarafından kurulacak, kullanılacak ve GSMA standardında belirtilen sertifikasyona tabi sistem bileşenleri için 29.02.2020 tarihine kadar yerli malı belgesi alınması,
  4. Kurum tarafından aksi belirlenmedikçe; fiziksel SIM’ler marifetiyle sunulan hizmetler için ilgili mevzuata uyum yükümlülüğünün Uzaktan Programlanabilir SIM teknolojileri üzerinden sunulan hizmetler için de geçerli olması,
  5. Ülkemizde kullanılmak üzere imal edilen veya yolcu beraberinde getirilen ya da ithalat yolu ile piyasaya arz edilen cihazların uluslararası dolaşım marifeti ile veri hizmeti almasının IMEI kayıt süresi olan 120 gün ile sınırlandırılması

hususlarına karar verilmiştir.

Gündem Konusu: 2018 Yılı Üçüncü Dönem Hizmet Kalitesi Bildirimleri (Vodafone Telekomünikasyon AŞ)

KARAR : Spektrum İzleme Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

Vodafone Telekomünikasyon AŞ’nin (Vodafone), 2018 yılı üçüncü dönem bildirimlerine istinaden; Elektronik Haberleşme Sektöründe Hizmet Kalitesi Yönetmeliği’nin 9’uncu maddesinin birinci fıkrası, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin 15, 25, 44 ve 46’ncı maddeleri, GSM Mobil Telefon Hizmetlerinde Hizmet Kalitesi Ölçütlerinin Elde Edilmesine İlişkin Tebliğ’in 20’nci maddesinin birinci fıkrası ve 3N Mobil Haberleşme Hizmetlerinde Hizmet Kalitesi Ölçütlerinin Elde Edilmesine İlişkin Tebliğ’in 15’inci maddesinin birinci fıkrası uyarınca;

  1. Gümüşhane ilinin Şiran ilçesinde, GSM mobil telefon hizmetine ilişkin olarak, “Arama Başarısızlık Oranı” ölçütü ile ilgili hedef değerin sağlanması yükümlülüğünün yerine getirilmemesi ve söz konusu ihlalin ilgili takvim yılı olan 2018 yılı içerisinde ilk kez vuku bulmasına istinaden;

– Söz konusu yerleşim yeri için Vodafone’un yazılı olarak uyarılması

– İlgili raporlama döneminde hizmet kalitesi yükümlülüklerini yerine getirmediğinin Kurum internet sayfasında bir ay süreyle duyurulması,

hususlarına karar verilmiştir.

Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası, Veri Sorumlularına Örnek Olması İçin Kurum İnternet Sayfasında Yayınlanmıştır.

Bilindiği üzere 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğinin;

– 3 üncü maddesinde kişisel veri saklama ve imha politikası; “veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika” olarak tanımlanmış,

– 5 inci maddesinin birinci fıkrasında, “Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür” hükmü yer almış,

– 6 ncı maddesinde ise kişisel veri saklama ve imha politikasının kapsamı detaylı olarak anlatılmıştır.

Bu kapsamda Kurumumuzca hazırlanarak yürürlüğe girmiş olan KVKK Kişisel Veri Saklama ve İmha Politikası; Sicile kayıtla yükümlü olan veri sorumlularına kişisel veri saklama ve imha politikası hazırlama konusunda örnek ve yardımcı olmak üzere Kurul tarafından, Kurum internet sayfasında yayınlanmasına karar verilmiş olup söz konusu politika Kurum internet sayfasında “Yayınlar” bölümünde “Diğer Dokümanlar” başlığı altında (https://kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar adresinde) kullanıma sunulmuştur.

Kamuoyuna saygıyla duyurulur.

VERBİS’e Kayıtla İlgili Olarak Veri Sorumlularına Yardımcı Olmak Üzere “SORULARLA VERBİS” Hazırlanmıştır.

6698 sayılı Kanunun 16 ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kaydolmak zorundadır.

Bu kapsamda, Veri Sorumluları Siciline kayıt yükümlülüğünün yerine getirilmesi esnasında veri sorumlularına rehberlik edilmesi ve bu konudaki bazı sorulara Kurumumuzca verilmiş olan cevapların görüntülenebilmesi amacıyla “Sorularla VERBİS” dosyası hazırlanmış olup VERBİS Anasayfada (www.verbis.kvkk.gov.tr adresinde) ve Kurum internet sayfasında “Yayınlar” bölümünde “Diğer Dokümanlar” başlığı altında ( https://kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar adresinde) kullanıma sunulmuştur.

Öte yandan, VERBİS ile ilgili konularda karşılaşılabilecek problemlerin giderilmesi ve aydınlatıcı bilgi verilmesi amacıyla ALO 198 (KVKK Bilgi Danışma Merkezi), hafta içi her gün mesai saatlerinde aranabilecektir.

Kamuoyuna saygıyla duyurulur.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, Kurum İnternet Sayfasında Yayınlanmıştır

Bilindiği üzere 10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğin;

  • maddesinde tebliğin amacı, “6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.” şeklinde tanımlanmış,
  • maddesinin 1. fıkrasında, “Kanunun 10. maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.” hükmü yer almış ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak hangi konuları içermesi gerektiği belirtilmiş,
  • maddesinde ise aydınlatma yükümlülüğünün yerine getirilmesi esnasında hangi usul ve esaslara uyulması gerektiği detaylı olarak anlatılmıştır.

Bu kapsamda, aydınlatma yükümlülüklerinin yerine getirilmesi konusunda veri sorumlularına iyi uygulama örnekleri sunulması ve aydınlatma metinleri oluşturulurken faydalanılabilmesi amacıyla Kurumumuzca hazırlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nin; Kurum internet sayfasında yayınlanmasına Kişisel Verileri Koruma Kurulu tarafından karar verilmiştir.

Söz konusu Rehber, Kurum internet sayfasında “Yayınlar” bölümünde “Rehberler” başlığı altında (https://www.kvkk.gov.tr/Icerik/2030/Rehberler adresinde) kamuoyunun istifadesine sunulmuştur.

Kamuoyuna saygıyla duyurulur.

KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARINA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 24.01.2019 TARİH VE 2019/10 SAYILI KARARINA İLİŞKİN DUYURU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

Kişisel Verileri Koruma Kurumu “Veri İhlali” başlığı altında birtakım yeni kamuoyu duyuruları yayımladı.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Hunko Motorlu Araçlar San. Ve Tic. Ltd. Şti.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Hunko Motorlu Araçlar San. Ve Tic. Ltd. Şti. tarafından belirli konularda hizmet aldığı Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş. nezdinde gerçekleşen veri ihlali ile ilişkili olarak Kurumumuza 14.03.2019 tarihinde intikal ettirilen ihlal bildiriminde özetle;

  • Veri ihlalinin 22-29 Aralık 2018 tarihlerinde meydana geldiği,
  • Yetkisiz web arayüzü kullanıcısı ile sisteme erişildiği, müşterilere ait resim dosyalarının ve kişisel verilerin sızdırıldığı,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim, görsel ve işitsel kayıtlar, araç ruhsatı, trafik poliçesi, kaza tespit tutanağı, alkol raporu, beyan dilekçesi ve özel nitelikli kişisel veri olarak sağlık verileri olduğu,
  • İhlalden etkilenen kişi sayısının 697 olduğu,

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.03.2019 tarih ve 2019/74 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ASF Otomotiv A.Ş.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan ASF Otomotiv A.Ş. tarafından belirli konularda hizmet aldığı Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş. nezdinde gerçekleşen veri ihlali ile ilişkili olarak Kurumumuza 13.03.2019 tarihinde intikal ettirilen ihlal bildiriminde özetle;

  • Veri ihlalinin 22-29 Aralık 2018 tarihlerinde meydana geldiği,
  • Yetkisiz web arayüzü kullanıcısı ile sisteme erişildiği, müşterilere ait resim dosyalarının ve kişisel verilerin sızdırıldığı,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim, araç ruhsatı, trafik poliçesi, kaza tespit tutanağı, alkol raporu, beyan dilekçesi ve özel nitelikli kişisel veri olarak sağlık bilgileri olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.03.2019 tarih ve 2019/73 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Kaya Seyehat Turizm San. Ve Dış. Tic. Ltd. Şti.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Kaya Seyehat Turizm San. Ve Dış. Tic. Ltd. Şti. tarafından belirli konularda hizmet aldığı Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş. nezdinde gerçekleşen veri ihlali ile ilişkili olarak Kurumumuza 13.03.2019 tarihinde intikal ettirilen ihlal bildiriminde özetle;

  • Veri ihlalinin 22-29 Aralık 2018 tarihlerinde meydana geldiği,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, araç ruhsatı, trafik poliçesi, kaza tespit tutanağı, alkol raporu, beyan dilekçesi ve özel nitelikli kişisel veri olarak sağlık verileri olduğu,
  • İhlalden etkilenen tahmini kişi sayısının 1000’den fazla ve kayıt sayısının 10000 olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.03.2019 tarih ve 2019/72 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Erdinç Karabekir

Bir Cevap Yazın