Türkiye Ziraat Odaları Birliği 'den KVKK'ya Veri İhlal Bildirimi Türkiye Ziraat Odaları Birliği 'den KVKK'ya Veri İhlal Bildirimi

Veri Sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Boyner Büyük Mağazacılık Anonim Şirketi  tarafından Kurula iletilen ihlal bildiriminde veri sorumlusuna ait  SMS Gönderim Paneli’ne şüpheli giriş yapılarak kullanıcıların cep telefonu numarasına erişilmiş ve kişilere yetkisiz SMS gönderimi yapılması ile ihlalin gerçekleştiği belirtilmiştir. KVKK'ya iletilen ihlal bildirimi sonrası KVKK konu ile ilgili gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.

KVKK tarafından yayımlanan ihlal bildirimi aşağıdaki şekildedir;

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Boyner Büyük Mağazacılık Anonim Şirketi

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Boyner Büyük Mağazacılık Anonim Şirketi (Boyner) tarafından Kurula iletilen veri ihlal bildiriminde özetle:

  • Veri sorumlusunun, mevzuatın izin verdiği ve/veya gerektirdiği konularda bilgilendirmelerin yapılması ve ticari elektronik iletişim izni veren müşterilerine ticari elektronik ileti gönderilmesi amaçlarıyla toplu SMS ve MMS gönderimine yönelik mesajlaşma hizmetleri kullandığı; bu mesajlaşma hizmetinin veri işleyenin sahibi olduğu internet sitesi üzerinde oluşturulmuş SMS Gönderim Paneli vasıtasıyla gerçekleştirildiği,
  • Yapılan kontrollerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir tanesine ait kullanıcı adı ve şifresi kullanılarak ilk kez 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne şüpheli giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli şüpheli girişler yapıldığının anlaşıldığı; bu girişlerde, herhangi bir hatalı şifre denemesi bulunmadığı görüldüğünden sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediği,
  • SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin iletişim (cep telefonu numarası) ve müşteri işlem verilerine (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıca bu kişilerin içerisinden 534.605 kişiye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden sahte bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
  • Bahse konu sahte internet sitesi aracılığıyla, kullanıcıların kimlik, iletişim ve finansal bilgilerini toplamanın yanısıra, banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
  • Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin herhangi bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha önce gönderilmiş SMS’lerin içerikleri değiştirilerek yeniden SMS gönderildiği;
  • İhlalden tahmini olarak 3.055.907 kişinin etkilendiği,
  • İhlalin 28.04.2023 tarihinde başladığı ve 06.05.2023 tarihinde tespit edildiği,
  • İlgili kişilerin veri ihlali ile ilgili veri sorumlusunun çağrı merkezi olan 444 2 967 telefon numarasından, boynerkvkk@boyner.com.tr e-posta adresinden ve yazılı olarak “Boyner Büyük Mağazacılık A.Ş. Büyükdere Cad. USO Center Binası No:245/2 34396 Maslak, Sarıyer/İstanbul” adresinden bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 11.05.2023 tarih ve 2023/813 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.

Editör: Elif Kosedag