Bilindiği üzere veri sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Marmara Üniversitesi Bilgi Yönetim Sistemi (BYS) içerisindeki SMS gönderim servisindeki yetkili kullanıcı hesabının yetkisiz bir kişi tarafından elde edilerek SMS gönderilmesi suretiyle ihlalin gerçekleştiği saptanmıştır. KVKK'ya iletilen ihlal bildirimi sonrası KVKK gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.
KVKK tarafından yayımlanan ihlal bildirimi aşağıdaki şekildedir;
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Marmara Üniversitesi
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Marmara Üniversitesi tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
- 15.09.2022 tarihinde veri sorumlusunun Bilgi Yönetim Sistemi (BYS) içerisindeki SMS gönderim servisindeki yetkili kullanıcı hesabının yetkisiz bir kişi tarafından elde edilerek SMS gönderilmesi suretiyle ihlalin gerçekleştiği,
- Ele geçirilen kullanıcı hesabının yeni kullanıcı hesapları tanımlama yetkisi olduğundan 3 yeni kullanıcı hesabı tanımı yapıldığının da tespit edildiği,
- Yetkisiz erişime konu dinamik raporlama ekranı üzerinden “toplu sms gönderimi” yapılabildiği ve üniversitede çalışan akademik ve idari personelin kimlik, iletişim ve özlük bilgilerine erişim sağlanabildiği,
- İhlalden etkilenen kişi sayısının 5698 olduğu,
- İhlalden etkilenen ilgili kişi grubunun çalışanlar ve kullanıcılar olduğu
- İhlal ile ilgili olarak ilgili kişilerin 0216 7771590 numaralı telefonu arayarak veya [email protected] adresine e-posta göndererek bilgi alabilecekleri
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.09.2022 tarih ve 2022/990 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.