Kişisel Verileri Koruma Kurumu ilk ihlal bildirimini 04.05.2018 tarihinde kendi web sitesi üzerinden yayımladı.
Kurum’un ilk ihlal bildirimi araç çağırma hizmeti sunan Dubai merkezi Careem Inc.‘in Türkiye faaliyetlerini yürüten Careem Networks Teknoloji Anonim Şirketi hakkında oldu.
Bilindiği üzere; 6698 Sayılı Kişisel Verilerin İşlenmesi Hakkında Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. Maddesinin 5. Fıkrası hükmü “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklindedir.
Careem Networks Teknoloji Anonim Şirketi 18.04.2018 tarihli yazısıyla;
- Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018 tarihinde yetkisiz üçüncü kişilerce erişim sağlandığını, (yapılan inceleme sonucunda konuya ilişkin tespitlerin 21.03.2018 tarihinde ortaya çıktığı,)
- Şirket tarafından adli bilişim incelemesi başlatıldığı ve önde gelen bir siber güvenlik şirketinin konu ile ilgili görevlendirildiğini kuruma bildirmiştir.
Careem Networks Teknoloji Anonim Şirketi yine 18.04.2018 tarihli yazısıyla;
- Söz konusu yetkisiz erişimden Türkiye’de mukim 103.337 müşteri ile 900 araç sürücüsünün etkilendiği,
- Yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin isim, telefon numarası, kredi kartı bilgisi, e- posta adresi, kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim, telefon numarası, araç modeli, plaka numarası, yolculuk özeti, uluslararası banka hesap numarası, T.C kimlik numarası ve ehliyet numarası bilgilerinin olabileceği bilgisini de Kurum ile paylaşmıştır.
Kurum; kendisine Careem Networks Teknoloji Anonim Şirketi‘nin yapmış olduğu bildirimini yukarıda belirtmiş olduğumuz 6698 Sayılı Kişisel Verilerin İşlenmesi Hakkında Kanun’un 12. Maddesinin 5. Fıkrası gereği değerlendirmiş ve Kişisel Verileri Koruma Kurulu’nun 02.05.2018 tarih 2018/45 sayılı Kararı ile söz konusu yetkisiz işlemin Kurum’un internet sitesinde yayımlanmasına karar vermiştir.
Burada şu bilgiyi de paylaşmakta fayda görüyoruz. Kurumun daha önceki karar özetlerinden bir tanesi de; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirilmesiyle ilgiliydi. Kurul bu kararında; Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre” yi aşan bir süre olduğu ve bu durumun Kanunun 12’nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kanun’un 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar vermişti.