Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Yamaha Motor Europe N.V.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Yamaha Motor Europe N.V. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Bağımsız bir siber güvenlik araştırmacısının, veri sorumlusunun Müşteri Kayıt Yönetimi (CRM) sisteminde bulunan bir güvenlik açığını veri sorumlusuna bildirmesi üzerine ihlalin 26.03.2024 tarihinde tespit edildiği,
- İhlalin başlama tarihinin net olarak bilinmediği, 2019 yılında başlamış olabileceği,
- Güvenlik açığının, CRM sistemi üzerinde çalışan müşteri portalındaki hatalı bir yapılandırmadan kaynaklandığı ve bu hatalı yapılandırma nedeniyle, kayıtlı herhangi bir kullanıcının, diğer kullanıcıların kişisel verilerine erişebildiğinin tespit edildiği,
- CRM sistemine 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının bu güvenlik açığından etkilendiğinin düşünüldüğü,
- Türkiye’den 35.988 kişinin ihlalden etkilenmiş olabileceği,
- İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişisel verilerin; ad-soyad, cinsiyet, e-posta adresi, (dahili) müşteri numarası verileri ile az sayıda kişi için ise bunlara ek olarak posta adresi ve telefon numarası verileri olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 03.04.2024 tarih ve 2024/587 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak: kvkk.gov.tr