Bir İlaç ve Biyoloji Şirketi Tarafından KVKK’ya Veri İhlali Bildiriminde Bulunuldu

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamda son dönemin öne çıkan veri ihlallerinden birinin aktörü Birleşik Krallık-İsveç merkezli tanınmış bir ilaç ve biyoloji şirketi oldu.

KVKK’da yayınlanan resmi açıklamada belirtilen ayrıntılar şu şekilde:

• Çalışan adaylarının, “İlgili Kuruluş”taki açık pozisyonlara başvurabilmelerini sağlayan, veri işleyen (Workday Limited) sisteminde ihlal gerçekleştiği,
• Bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ilişkin verileri izlemek adına bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, değişkenin değerinin, harici kariyer sitesi için HTML kaynağını inceleyen, örneğin tarayıcının “Kaynağı Görüntüle” özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği,
• Bahse konu durumdan dolayı, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 arasında ve/veya 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 arasında iş başvurusu yapan çalışan adaylarının kişisel verilerinin kısa süreliğine erişilebilir hale geldiği,
• İhlalin 31 Temmuz 2022 tarihinde tespit edildiği,
• İhlalden etkilenen kişi grubunun çalışan adayları olduğu,
• İhlalden tahmini 981 kişinin etkilendiği,
• İhlalden etkilenen kişisel verilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “İlgili Kuruluş” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut veya önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları olduğunun tahmin edildiği, buna ek olarak, çalışan adaylarının veri işleyen sistemi üzerinden gönüllü olarak da kişisel URL, iş deneyimi, eğitim, dil, yetenekler ve özgeçmiş verilerini sağlayabildiği kaydedildi.

Konuya ilişkin incelemenin devam ettiği ifade edilirken söz konusu veri ihlali KVKK kararı ile kurumun internet sitesinde ilan edildi.