ADIM ADIM OLUŞUMU’NDAN VERİ İHLALİ BİLDİRİMİ

14 Mart 2021

Kişisel Verileri Koruma Kurumunun (“Kurum ) internet sayfasında yayınlanan kamuoyu duyurusuyla Adım Adım Oluşumu’nun siber saldırıya uğradığı paylaşılmıştır.

Söz konusu ihlal, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin[1] (5) numaralı fıkrası doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumlusu tarafından Kuruma bildirilmiştir.  

Veri sorumlusu sıfatını haiz olan Adım Adım Oluşumu tarafından Kuruma gönderilen yazıda özetle;

  • İhlalin, siber saldırganların ipk.adimadim.org web sayfası veri tabanına yetkisiz erişim sağlayarak kişisel verilere hukuka aykırı erişimleri sonucu gerçekleştiği,
  • İhlalin, bir internet sitesinde veri sorumlusuna ait verilerin yayınlanmasının sosyal medyadaki paylaşımlar sonucunda fark edilerek veri tabanında inceleme başlatılması ile tespit edildiği
  • İhlalden etkilenen verilerin kimlik, iletişim, müşteri işlem, işlem güvenliği, mesleki deneyim, diğer (Eğitim bilgisi, forma ebatları ve ilgili kişilerin adına koştuğu Sivil Toplum Kuruluşu'na ilişkin bilgiler) bilgiler olduğu,
  • İhlalden etkilen kişi grubunun kullanıcılar ve aboneler/üyeler olduğu,
  • Etkilenen kişi sayısının henüz tam olarak tespit edilemediği ve bu konuda çalışmaların devam ettiği, etkilenen kayıt sayısının tahmini 733.000 olduğu,
  • İlgili kişilerin veri ihlali ile ilgili olarak www.adimadim.org internet sayfası, iyilikpesindekos@adimadim.org e-posta adresi, sosyal medya hesapları ve 0532 623 39 02 nolu telefondan bilgi alabilecekleri

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.03.2021 tarih ve 2021/222 sayılı kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.