Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Knauf İnşaat ve Yapı Elemanları San. ve Tic. A.Ş ile Knauf Insulation Izolation San. ve Tic. A.Ş tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
- Veri sorumlularının hissedarı olan veri işleyen Knauf Gips KG'in Almanya sunucularına 29.06.2022 tarihinde fidye yazılımı saldırısı gerçekleştirildiği,
- İhlalden etkilenen kişi sayısı henüz tespit edilememiş olmakla birlikte herhangi bir veri ihlalinin yaşanmamış olmasının da muhtemel olduğu; zira sorumlu olunan kişisel verilerin bulunduğu sunucuya erişim sağlanmamış olmasının ihtimal dahilinde olduğu,
- Veri sorumlularının e-posta hizmetinin bir bölümü, websitesi vasıtasıyla yürütülen süreçlerin (pazarlama, iletişim formu süreci, iş başvuru süreci vb) verileri ile iş/staj başvuru/kabul ve özlük dosyası oluşturma, muhasebe ve AGİ, izin/ mesai takip, sözleşme akdetme, mal/hizmet alım ve satış, bayilik başvuru/kabul gibi süreçlerde toplanan veriler veri işleyen sunucularında barındırıldığından ilgili kişilere ilişkin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, mesleki deneyim, finans, pazarlama, görsel ve işitsel kayıtlar, sendika üyeliği, diğer, felsefi inanç, din, mezhep ve diğer inançlar, ceza mahkumiyeti ve güvenlik tedbirleri ve sağlık bilgilerinin veri ihlalinden etkilenmiş olma ihtimali bulunduğu; etkilenen verilere dair detayların teknik çalışma neticesinde tespit edileceği,
- İhlalden etkilenen ilgili kişi grubu henüz tespit edilememiş olmakla birlikte veri işleyen sunucusunda verisi barındırılan ilgili kişi gruplarının: ticari ilişki kurulan gerçek kişi veya tüzel kişi ilgilisi, ziyaretçi, başvuruda bulunan kişi, çalışan adayı, çalışan adayı referansı, stajyer adayı, stajyer, tedarikçi çalışanı, sözleşme yapılan tüzel kişi yetkilisi, bayi çalışanı, çalışan ailesi olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 07.07.2022 tarih ve 2022/687 ve 2022/688 sayılı Kararları ile söz konusu veri ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.