PTT Veri İhlali Bildirimi

Okuma Süresi: 2 Dakika

PTT ve Biblos Alaçatı Turizm Yatırımları A.Ş’de Veri İhlali

1-Giriş

            PTT ve Biblos Alaçatı Turizm Yatırımları A.Ş tarafından kendilerine karşı gerçekleştirilen fidye yazılımı saldırısı sonucunda oluşan veri kaybı nedeniyle Kişisel Verileri Koruma Kurulu’na bildirim yapılmış ve yapılan bildirim sonucunda Kişisel Verileri Koruma Kurulu tarafından  01.09.2022 tarih ile 2022/891 ve  2022/882 sayılı kararlar ile PTT ve Biblos Alaçatı Turizm Yatırımları A.Ş tarafından yapılan veri ihlali bildirimlerinin Kurumun internet sayfasından ilan edilmesi yönünde karar verilmiştir. Şöyle ki; (ptt veri ihlali)

2-PTT Tarafından Gerçekleştirilen Veri İhlal Bildirimi

            PTT tarafından gerçekleştirilen veri ihlal bildirimi aşağıdaki şekildedir;

“…1-Zararlı yazılımlar vasıtasıyla üyelerin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandığı,

2-Yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edildiği,

3-İhlalin 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleştiği ve 30.08.2022 tarihinde tespit edildiği,

4-İhlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ait bilgiler olduğu,

5-İhlalden yaklaşık 38.000 kaydın etkilendiği

6-İhlal ile ilgili çalışmaların devam etmekte olduğu…” (Kaynak: https://www.kvkk.gov.tr/Icerik/7435/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Posta-ve-Telgraf-Teskilati-Biriktirme-ve-Yardim-Sandigi, (Erişim Tarihi: 12.09.2022)).

3- Biblos Alaçatı Turizm Yatırımları A.Ş Tarafından Gerçekleştirilen Veri İhlal Bildirimi

Biblos Alaçatı Turizm Yatırımları A.Ş tarafından gerçekleştirilen veri ihlal bildirimi aşağıdaki şekildedir;

“…1-İhlalin kaynağının fidye yazılımı saldırısı ve parola saldırısı olduğu,

2-İhlalin 19.08.2022 tarihinde başladığı, aynı tarihte veri sorumlusunun iş telefonlarına gönderilen mesajlar ve personeline gönderilen e-postalar aracılığıyla siber saldırının tespit edildiği,

3-İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem, finans, pazarlama, görsel ve işitsel kayıtlar olduğu,

4-İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin sağlık bilgileri ve biyometrik veriler olduğu,

5-Öte yandan insan kaynakları, ön büro ve finans departmanlarında kullanılan programlar vasıtasıyla personel bordro kayıtlarının, misafir verilerinin ve şirketin mali verilerinin ihlale maruz kalmasının ihtimal dahilinde olduğu,

6-İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,

7-İhlalden etkilenen tahmini kişi sayısının 450 olduğu, ancak siber saldırıya uğrayan programlar ve verilerle ilgili envanter çalışmasının devam ettiği,

8-İlgili kişilere ait verilerin siber saldırı sonucunda silinmesi nedeniyle bildirim yapılamadığı….” (Kaynak: https://www.kvkk.gov.tr/Icerik/7435/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Posta-ve-Telgraf-Teskilati-Biriktirme-ve-Yardim-Sandigi, (Erişim Tarihi: 12.09.2022)).

4-Sonuç ve Değerlendirme

Kurum tarafından yayılanmış olan ilan metninde de ifade edildiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” Hükmünü havidir. Bu kapsamda herhangi bir kurum ve kuruluş tarafından işlenen verilerin hukuka aykırı bir şekilde üçüncü şahıslar tarafından ele geçirilmesi halinde, bahse konu veri sorumlusunun bunu en kısa sürede kuruma ve ilgilisine bildirme yükümlüğü vardır.  Kurul da gerekli gördüğü takdirde bu ihlali kendisine ait internet sitesinde veya başka bir yolla ilan edebilecektir. Bu olayda da PTT ve Biblos Alaçatı Turizm Yatırımları A.Ş’ye ait veriler kimliği belirsiz üçüncü şahıslar tarafından zararlı yazılım vasıtasıyla ele geçirilmiştir.  Veri sorumlusu olan şirketlerde bu durumu  6698 sayılı kanundan kaynaklanan yükümlülükleri gereği kuruma bildirmişlerdir. Kurum da yine 12 nci maddesinin (5) numaralı fıkrası gereğince ilgili ihlali internet sitesinde yayınlamıştır. Dolayısıyla, bahse konu ilan gayet yasal ve hukuka uygundur.

Tüm “Karar İnceleme”lerimizi okumak için bağlantıya tıklayınız.

Hukuk ve Bilişim Dergisi’nin Son Sayı’sını bağlantıdan okuyabilirsiniz.