Veri sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Quick Sigorta Anonim Şirketi tarafından Kurula iletilen veri ihlal bildirimlerinde veri sorumlusunun anlaşmalı olduğu yazılım firması tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirildiği yetkisiz kişiler tarafından çeşitli ihbar ID numaraları denenerek görsellere erişilmesi ile ihlalin gerçekleştiği ve KVKK'ya iletilen ihlal bildirimi sonrası KVKK konu ile ilgili gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.
KVKK tarafından yayımlanan ihlal bildirimi aşağıdaki şekildedir;
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Quick Sigorta Anonim Şirketi
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Quick Sigorta Anonim Şirketi tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
- Veri sorumlusunun anlaşmalı olduğu yazılım firması tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirildiği,
- Yetkisiz kişiler tarafından çeşitli ihbar ID numaraları denenerek görsellere erişilmesi ile ihlalin gerçekleştiği,
- Yapılan incelemelerde saldırganın sisteme giriş yapma denemelerinin 18.08.2022 tarihinde başarılı olduğu ve 21.08.2022 tarihinde veri çekme girişimlerine başladığının anlaşıldığı,
- İlgili programın çoğunlukla, kazaya karışmış hasarlı araçlara ait görüntülerden oluştuğu; halihazırda konuya ilişkin inceleme devam etmekle birlikte, hasar dosyasında yer alan bilgiler kapsamında:
- Sürücülerin kimlik görseli iletmesi halinde; isim, soyisim, T.C kimlik numarası, doğum yeri, doğum tarihi, anne adı, baba adı, cinsiyeti ve fotoğrafı,
- Sürücülerin ehliyet görseli iletmesi halinde; isim, soyisim, doğum tarihi, doğum yeri, T.C. kimlik numarası, kan grubu ve fotoğrafı,
- Trafik kaza tespit tutanağı kapsamında adres bilgisinin bulunduğu,
- İhlalden etkilenen ilgili kişi sayısını tespit çalışmalarının devam etmekte olduğu,
- İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler ve trafik kazasına karışan taraflar olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 07.10.2022 tarih ve 2022/1096 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
