Veri Sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Beşiktaş Sportif Ürünleri Sanayi ve Ticaret AŞ tarafından Kurula iletilen ihlal bildiriminde ihlalin Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret AŞ (Vodatech) sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez duruma gelmesiyle gerçekleştiği belirtilmiştir. KVKK'ya iletilen ihlal bildirimi sonrası KVKK konu ile ilgili gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Beşiktaş Sportif Ürünleri Sanayi ve Ticaret AŞ
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Beşiktaş Sportif Ürünleri Sanayi ve Ticaret AŞ tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- İhlalin; Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret AŞ sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenerek erişilemez duruma gelmesiyle gerçekleştiği,
- İhlalden etkilenen ilgili kişi grubunun müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişi sayısının tahmini 27.920 olduğu ancak bu sayısının gelen görüşme taleplerine göre hesaplandığı, tekil kişi sayısının belirlenemediği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem, görsel ve işitsel kayıtlar olduğu ancak olaya ilişkin incelemelerin devam ettiği,
- İlgili kişilerin www.bjk.com.tr internet sitesi ve kvkk@bjk.com.tr e-posta adreslerinden veri ihlali ile ilgili bilgi alabilecekleri
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 24.08.2023 tarih ve 2023/1498 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
