Duyurular

Kişisel Verileri Koruma Kurumu Tarafından 27 Ocak 2026 Tarihinde 6 Adet Veri İhlali Bildirimine İlişkin Kamuoyu Duyurusu Yayınlanmıştır

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurulunun (“Kurul”) 27.01.2026 tarihli kararları ile altı adet veri ihlali bildirimi Kişisel Verileri Koruma Kurumunun (“Kurum”) resmi internet sayfasında ilan edilmiştir.

Söz konusu ihlaller, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrası doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumlusu tarafından Kurum’a bildirilmiştir.

Gıda sektöründe faaliyet gösteren şirketin veri ihlali bildiriminde özetle;

  • İhlalin, 22.01.2026 tarihinde başladığı ve 23.01.2026 tarihinde fark edildiği,
  • İhlalin, bordro yazılımı ile online yemek siparişlerinin yönetildiği bilgi sistemlerini barındıran yerel SQL veritabanına dışarıdan müdahale edilerek sistemin şifrelenmesi ve erişimin engellenmesi sonucu meydana geldiği,
  • İhlalden etkilenen ilgili kişi grubunun çalışanlar ve müşteriler olduğu,
  • Müşterilere ait kimlik (ad-soyad), iletişim (adres, cep telefonu) ve müşteri işlem verilerinin (yemek sipariş detayları); çalışanlara ait ise kimlik, iletişim ve özlük verilerinin etkilendiği,
  • Toplamda yaklaşık 13.000 çalışan ve 150.000 müşteri olmak üzere 163.000 kişinin ihlalden etkilendiği

bilgilerine yer verilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Sağlık hizmetleri sektöründe faaliyet gösteren şirketin veri ihlali bildiriminde özetle;

  • Veri ihlalinin 20.01.2026 tarihinde gerçekleştiği ve aynı tarihte tespit edildiği,
  • İhlalin kaynağının fidye yazılımı saldırısı olduğu,
  • Sanallaştırma altyapısında yer alan sunuculara erişimin engellenmesi üzerine yapılan incelemelerde sistem dosyalarının fidye yazılımı uzantıları ile şifrelendiğinin belirlendiği,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, özlük, fiziksel mekân güvenliği, işlem güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar ile birlikte özel nitelikli kişisel veriler (ırk ve etnik köken, felsefi inanç, din, mezhep ve diğer inançlar, kılık ve kıyafet, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik veriler) olduğu; ayrıca unvan, imza bilgileri, çocuk sayısı ve yaş bilgileri, medeni hâl, askerlik durumu ve seyahat bilgilerinin de etkilenen veriler arasında yer aldığı,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, öğrenciler, müşteriler, potansiyel müşteriler ve hastalar olduğu; bununla birlikte çalışan adayları, çalışan yakınları, dışarıdan hizmet veren doktorlar, misafirler, hasta yakınları, tedarikçi çalışanları ve yetkilileri, stajyerler, ziyaretçiler ve diğer birçok ilgili kişi grubuna ait kişisel verilere de erişilmiş olabileceğinin tespit edildiği,
  • İhlalden etkilenen kişi sayısının henüz netleştirilemediği ve tespit çalışmalarının sürdüğü,

bilgilerine yer verilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Yazılım geliştirme sektöründe faaliyet gösteren şirketin veri ihlali bildiriminde özetle;

  • Veri ihlalinin 15.01.2026 – 20.01.2026 tarihleri arasında gerçekleştiği ve 20.01.2026 tarihinde tespit edildiği,
  • İhlalin, “Chat & Ask AI” adlı mobil uygulamanın veri tabanı ve dosya depolama altyapısı olarak kullanılan Google Firebase servislerindeki yetkilendirme yapılandırmasında bulunan bir zafiyet nedeniyle saldırganların kullanıcı verilerine ve dosya havuzuna erişim sağlaması sonucunda meydana geldiği,
  • Teknik zafiyetin giderilmesinin ardından veri ihlaline ilişkin iç kontrol, denetim ve araştırma çalışmalarının devam ettiği,
  • İhlalden; kullanıcılara ait e-posta adresleri, uygulamaya kayıt sırasında seçilen takma isimler ile uygulama kullanım sürecinde uygulama ile paylaşılan gönderi içeriklerinin etkilendiği,
  • Yaklaşık 3.700 kişinin ihlalden etkilendiğinin değerlendirildiği ancak sayının netleştirilmesine yönelik çalışmaların sürdüğü

bilgilerine yer verilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Sağlık teknolojileri ve bilişim sektörlerinde faaliyet gösteren şirketin veri ihlali bildiriminde özetle;

  • Veri ihlalinin 08.01.2026 tarihinde başladığı ve 15.01.2026 tarihinde tespit edildiği,
  • İhlalin; veri işleyen tarafından geliştirilen ve şirket içi iletişim, bilgi paylaşımı ile bazı insan kaynakları fonksiyonlarını destekleyen yazılımın kod tabanında bulunan bir zafiyet aracılığıyla dosyalara ve üstünyazı önişlemcisi komut dosyalarına erişim sağlanması ve bu yollarla uygulamanın işleyişinin değiştirilmesi sonucu gerçekleştiği,
  • Veri sorumlusu sisteminde tutulan kişisel verilere fiilen erişim sağlanıp sağlanmadığı ile bu veriler üzerinde kopyalama vb. işlemler yapılıp yapılmadığının henüz doğrulanamadığı, ancak veri gizliliğinin ihlal edilmiş olabileceğinin değerlendirildiği,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve eski çalışanlar olduğu,
  • Etkilenmiş olabilecek kişisel verilerin kimlik (ad, soyad) ile iletişim (e-posta adresi, telefon numarası) verileri olduğu,
  • İhlalden etkilenen kişi sayısının 525 olduğu,

bilgilerine yer verilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Ulaşım ve turizm sektörlerinde faaliyet gösteren şirketin veri ihlali bildiriminde özetle;

  • Veri sorumlusunun Hollanda’da kurulmuş ve faaliyet göstermekte olduğu, dünya genelinde seyahat biletlerinin satışı için acentelik dağıtım modeli kullandığı,
  • Hizmetlerini kullanan müşterilerin kişisel verileri bakımından bazı durumlarda veri sorumlusu, bazı durumlarda ise veri işleyen sıfatıyla hareket edebildiği,
  • Veri ihlalinin 26.12.2025 tarihinde başladığı ve 05.01.2026 tarihinde tespit edildiği,
  • İhlalin, veri sorumlusu sistemlerine yönelik gerçekleştirilen siber saldırı sonucunda meydana geldiği,
  • İhlalden etkilenen kişisel verilerin;
  • Kimlik verileri: ad-soyad, cinsiyet, doğum tarihi ve/veya yaş, pasaport numarası, pasaportun düzenlendiği ülke ve geçerlilik tarihi,
  • İletişim verileri: adres, ikamet yeri, e-posta adresi, telefon numarası,
  • Müşteri işlem verileri: tren yolculuklarına ilişkin seyahat bilgileri (ülke, şehir, seyahat tarih ve saatleri dâhil),
  • İhlalden Türkiye’de mukim 8.823 kişinin etkilendiği,
  • Etkilenen ilgili kişi grubunun tren bileti satın alan müşteriler olduğu,

bilgilerine yer verilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Bir üniversitenin veri ihlali bildiriminde özetle;

  • Veri ihlalinin 26.12.2025 tarihinde başladığı ve 05.01.2026 tarihinde tespit edildiği,
  • İlgili kişilere ait kişisel verilerin ele geçirilerek veri sorumlusuna ait olmayan bir internet sitesinde yayımlanması sonucunda ihlalin meydana geldiği,
  • Geçiş sistemleri yönetiminde kullanılan mevcut yazılım sözleşmesinin sona ermesine yaklaşılması ve yeni dönem ihale sürecine ilişkin ön araştırmalar sırasında ihlalin tespit edildiği

bilgilerine yer verilmiştir.

Veri sorumlusu tarafından Kurul’a iletilen bildirime göre; ihlalden etkilenen ilgili kişi grupları, ilgili kişi sayısı ve etkilenen kişisel veri türlerine ilişkin kesin tespitlere henüz yer verilmemiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.