PENTİ GİYİM VE İŞTİRAKLERİNDEN VERİ İHLALİ BİLDİRİMİ

08.08.2020

Kişisel Verileri Koruma Kurumu (“Kurum”), 07 Ağustos 2020 tarihinde, internet sayfasında veri ihlali bildirimine ilişkin bir kamuoyu duyurusu paylaşmıştır.

Söz konusu ihlal, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin[1] (5) numaralı fıkrası doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumlusu tarafından Kuruma bildirilmiştir.  

Veri sorumlusu sıfatını haiz olan Penti Giyim Sanayi ve Ticaret Anonim Şirketi (Türkiye) ve iştirakleri olan Penti Çorap Sanayi ve Ticaret Anonim Şirketi (Türkiye), SC Penti World SRL (Romanya), Penti World LLC (Kazakistan) ve Penti Giyim Ticaret Anonim Şirketi (Kuzey Kıbrıs Türk Cumhuriyeti) tarafından Kuruma gönderilen yazıda özetle;

  • İhlalin; Penti Giyim Sanayi ve Ticaret Anonim Şirketi’nin sistemlerine yapılan fidye saldırısı neticesinde gerçekleştiği,
  • İhlalin 31.07.2020 tarihinde gerçekleştiği ve aynı tarihte tespit edildiği,
  • İhlal sonucunda; Penti Giyim Sanayi ve Ticaret Anonim Şirketinin tahmini 650 kullanıcısına ait kimlik ve iletişim verilerinin, Penti Çorap Sanayi ve Ticaret Anonim Şirketinin tahmini 130 kullanıcısına ait kimlik ve iletişim verilerinin, SC Penti World SRL’nin tahmini 45.228 çalışan, müşteri ve potansiyel müşterilerine ait kimlik, iletişim ve müşteri işlem verilerinin, Penti World LLC’nin tahmini 14 çalışanına ait kimlik ve iletişim verilerinin, Penti Giyim Ticaret Anonim Şirketinin tahmini 4 kullanıcısına ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
  • İncelemelerin devam ettiği ihlalden etkilenen kişi sayısının henüz tespit edilemediği,
  • İhlal hakkında incelemenin Penti Giyim Sanayi ve Ticaret Anonim Şirketi nezdinde devam ettiği

belirtilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 06.08.2020 tarih ve 2020/600-601-602-603-604 sayılı Kararları ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.