Veri Sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş. tarafından Kurula iletilen ihlal bildiriminde ihlalin veri sorumlusu sistemlerine fidye yazılımı saldırısı bulunulması şeklinde gerçekleştiği belirtilmiştir. KVKK'ya iletilen ihlal bildirimi sonrası KVKK konu ile ilgili gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.

Türkiye Ziraat Odaları Birliği 'den KVKK'ya Veri İhlal Bildirimi Türkiye Ziraat Odaları Birliği 'den KVKK'ya Veri İhlal Bildirimi

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş tarafından Kurula iletilen veri ihlal bildiriminde özetle;

  • İhlalin, 15 Ekim 2022 tarihinde veri sorumlusu sistemlerine fidye yazılımı saldırısı bulunulması şeklinde gerçekleştiği,
  • Yedekler üzerinden sisteme tekrardan erişimin sağlanması ve herhangi bir veri sızıntısının yaşanmadığının düşünülmesi sebebiyle veri ihlal bildiriminde bulunulmadığı,
  • Tehdit istihbaratı faaliyeti kapsamında bazı bilgilerin saldırganlar tarafından ele geçirildiği ve internette satıldığı veya satılmaya çalışıldığı yönünde 18.09.2023 tarihinde istihbarat alındığı,
  • Yapılan incelmelerde söz konusu tarihlerde uğranılan siber saldırıya ilişkin verilerin dark web’de yer aldığının görüldüğü,
  • İhlalden kişisel verilerden “kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, mesleki deneyim verileri” ile özel nitelikli kişisel verilerden “sağlık bilgisi ve ceza mahkumiyeti ve güvenlik tedbiri verilerinin” etkilendiği,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, tüzel kişi (müşteri, potansiyel müşteri ve tedarikçi) çalışanları, tedarikçiler, tedarikçi yetkilileri olduğu,
  • İhlalden etkilenen kişi sayısına yönelik çalışmaların halen devam ettiği ancak tahmini kişi sayısının 1000’in üzerinde olduğu,
  • İlgili kişilerin veri ihlaliyle ilgili olarak [email protected] e-posta adresinden bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.09.2023 tarih ve 2023/1684 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Editör: Elif Kosedag