Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Microsoft Corporation tarafından Kurumumuza gönderilen 29.01.2020 tarihli yazılarında özetle;
- İhlalin 05.12.2019 ile 31.12.2019 tarihleri arasında gerçekleştiği ve 26.01.2020 tarihinde tespit edildiği,
- İhlalin güvenlik kurallarının yanlış yapılandırılması nedeniyle Microsoft destek hizmetleri temsilcilerinin müşteriler ile gerçekleştirdikleri etkileşimlere ilişkin bilgileri içeren bir veri tabanının internet vasıtasıyla erişilebilir olması dolayısıyla gerçekleştiği,
- İhlalden etkilenen kişisel veri kategorilerinin iletişim, müşteri işlem, işlem güvenliği, finans verileri olduğu,
- İhlalden etkilenen tahmini kişi sayısının Türkiye’den 158 kullanıcı olduğu,
- İlgili kişilerin veri ihlaliyle ilgili olarak https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/ adresinden bilgi alabilecekleri
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 04.02.2020 tarih ve 2020/82 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak