Duyurular
Kişisel Verileri Koruma Kurumu Tarafından Yayınlanan 9 Mayıs 2024 Tarihli Veri İhlali Bildirimi Kararları
Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sayfasında yayınlanan 9 Mayıs 2024 tarihli kamuoyu duyurularıyla veri sorumlusu sıfatını haiz Alexion İlaç Ticaret Limited Şirketi ve Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti.’ye siber saldırı düzenlendiği paylaşılmıştır.
Söz konusu ihlal, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası[1] doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumluları tarafından Kuruma bildirilmiştir.
- Veri sorumlusu sıfatını haiz Alexion İlaç Ticaret Limited Şirketi tarafından Kuruma iletilen kişisel veri ihlali bildiriminde özetle;
- İhlalin 13.02.2024-21.02.2024 tarihleri arasında gerçekleştiği ve 05.05.2024 tarihinde tespit edildiği,
- Veri sorumlusunun klinik araştırmalar için hizmet aldığı eClinical Solutions LLC’nin (veri işleyen) sistemlerine siber saldırı düzenlendiği,
- Veri işleyenin sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırıldığının tespit edildiği,
- İhlalden etkilenen ilgili kişi grubunun sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler ile klinik araştırma katılımcıları/gönüllüleri (denek) olduğu,
- İhlalden etkilenen verilerin;
- Klinik araştırmaya katılan katılımcılar/gönüllüler için (tamamı “pseudonym (takma adlaştırılarak/kodlanarak)” olmak üzere); katılımcı kimliği (anahtar kodlu tanımlayıcı), çalışma adı, durum, açık rıza tarihi, ekran arıza tarihi, rastgele tarih, kol/kohort/startifikasyon, ilk doz tarihi, güncel doz tarihi, son doz tarihi, en son ziyaret tarihi, yeniden tarama sayısı, önceki katılımcı kimliği, yaş, cinsiyet, ırk, etnik köken, rastgeleleştirilmiş dönem sonu, tedavinin durdurulma nedeni, tedavinin durdurulduğu tarih, çalışmanın durdurulma nedeni, çalışmanın durdurulduğu tarih, tamamlanan çalışma, çalışmanın tamamlanma tarihi, ölüm tarihi, SDVTier, katılımcı kimliği, doğum yılı, laboratuvar sonuçları, aralık içerisinde değeri (with in range), laboratuvar tarihi, kullanılan ilaçlar, tıbbi geçmiş bilgileri olduğu,
- Sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler için; saha personeli bilgileri, UserOID, giriş adı, ekran adı, tam ad, kullanıcı rolü, ülke, kurumsal iletişim bilgileri (adres, e-posta, faks, telefon, lisans numarası) olduğu
- İhlalden etkilenen ilgili kişi sayısının 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişi olduğu
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.05.2024 tarih ve 2024/759 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurum’un internet sayfasında ilan edilmesine karar verilmiştir.
Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.
- Veri sorumlusu sıfatını haiz olan Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti. tarafından Kuruma iletilen veri ihlal bildiriminde özetle;
- İhlalin, 23.04.2024-25.04.2024 tarihleri arasında gerçekleştiği ve 24.04.2024 tarihinde tespit edildiği,
- İhlalin veri sorumlusunun kullandığı sisteme bir admin hesabının kullanıcı bilgilerini ele geçiren siber saldırgan tarafından erişilmesi sonucunda meydana geldiği,
- İhlalden etkilenen kişisel veri kategorilerinin; kimlik (ad, soyadı), iletişim (cep telefonu numarası, e-posta adresi) ve müşteri işlem (gerçek ve tüzel kişilerin alışveriş geçmişi) bilgileri olduğu,
- İhlalden etkilenen ilgili kişi grubunun müşteriler olduğu,
- İhlalden etkilenen ilgili kişi sayısının 36.956 olduğu,
- İlgili kişilerin, veri sorumlusunun web sitesi (b2b.pinartekstil.com.tr) ve 0850 241 76 70 numaralı telefon aracılığıyla veri ihlali hakkında bilgi alabileceği
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.05.2024 tarih ve 2024/758 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurum’un internet sayfasında ilan edilmesine karar verilmiştir.
Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.
Saygılarımızla,
Zümbül Hukuk ve Danışmanlık
[1] “Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”