Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Veri ihlalinin, veri sorumlusu dosya sunucularına yapılan fidye yazılımı saldırısı sonucu gerçekleştiği,
- İhlalin 16.07.2022 tarihinde başladığı ve dosyaların çalındığı ile fidye istendiğine ilişkin metin dosyalarının bilgi sistemleri sorumlusu tarafından fark edilmesi üzerine 09.08.2022 tarihinde tespit edildiği,
- İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
- İhlalden yeminli mali müşavirlik ve bağımsız denetim faaliyetleri kapsamında tüzel kişi müşterilerden elde edinilen ticari veriler içinde bulunan kimlik (ad, soyad), iletişim (e-posta adresi, telefon numarası) ve finans (fatura, ticari kayıtlar) kategorilerinde yer alan kişisel verilerin etkilenmiş olabileceğinin düşünüldüğü,
- İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, tespit ile ilgili çalışmaların devam ettiği,
- İhlale ilişkin olarak ilgili kişilerin kvk@gureli.com.tr e-posta adresi ile 444 9 475 – (0212) 285 01 50 telefon numaralarından bilgi alabileceği
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.08.2022 tarih ve 2022/850 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.