Alman İnşaat ve Yapı Elemanları Şirketinden Fidye Yazılımı Saldırısı ile Bağlantılı Veri İhlali Açıklaması

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamdaki son duyurulardan biri, Almanya merkezli inşaat ve yapı elemanları şirketi tarafından gerçekleştirildi.

KVKK’da yayınlanan resmi açıklamada belirtilen ayrıntılar şu şekildeydi:

• Veri sorumlularının hissedarı olan veri işleyen şirketin Almanya sunucularına 29.06.2022 tarihinde fidye yazılımı saldırısı gerçekleştirildiği,
• İhlalden etkilenen kişi sayısı henüz tespit edilememiş olmakla birlikte herhangi bir veri ihlalinin yaşanmamış olmasının da muhtemel olduğu; zira sorumlu olunan kişisel verilerin bulunduğu sunucuya erişim sağlanmamış olmasının ihtimal dahilinde olduğu,
• Veri sorumlularının e-posta hizmetinin bir bölümü, websitesi vasıtasıyla yürütülen süreçlerin (pazarlama, iletişim formu süreci, iş başvuru süreci vb) verileri ile iş/staj başvuru/kabul ve özlük dosyası oluşturma, muhasebe ve AGİ, izin/ mesai takip, sözleşme akdetme, mal/hizmet alım ve satış, bayilik başvuru/kabul gibi süreçlerde toplanan veriler veri işleyen sunucularında barındırıldığından ilgili kişilere ilişkin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, mesleki deneyim, finans, pazarlama, görsel ve işitsel kayıtlar, sendika üyeliği, diğer, felsefi inanç, din, mezhep ve diğer inançlar, ceza mahkumiyeti ve güvenlik tedbirleri ve sağlık bilgilerinin veri ihlalinden etkilenmiş olma ihtimali bulunduğu; etkilenen verilere dair detayların teknik çalışma neticesinde tespit edileceği,
• İhlalden etkilenen ilgili kişi grubu henüz tespit edilememiş olmakla birlikte veri işleyen sunucusunda verisi barındırılan ilgili kişi gruplarının: ticari ilişki kurulan gerçek kişi veya tüzel kişi ilgilisi, ziyaretçi, başvuruda bulunan kişi, çalışan adayı, çalışan adayı referansı, stajyer adayı, stajyer, tedarikçi çalışanı, sözleşme yapılan tüzel kişi yetkilisi, bayi çalışanı, çalışan ailesi olduğu kaydedildi.

Söz konusu gelişmeye ilişkin incelemelerin devam ettiği ifade edilirken söz konusu veri ihlali, KVKK’nın 07.07.2022 tarih ve 2022/687 ve 2022/688 sayılı Kararları ile kurumun internet sitesinde ilan edildi.