DİŞ SAĞLIĞI POLİKLİNİĞİNDEN VERİ İHLALİ BİLDİRİMİ

24.07.2021

Kişisel Verileri Koruma Kurumunun (“Kurum ) 19 Temmuz 2021 tarihinde internet sayfasında yayınlanan kamuoyu duyurusuyla; İzmir’de faaliyet gösteren özel bir diş sağlığı polikliniği’nin siber saldırıya uğradığı paylaşılmıştır.

Söz konusu ihlal, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin[1] (5) numaralı fıkrası doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumlusu sıfatını haiz özel diş sağlığı polikliniği tarafından Kuruma bildirilmiştir.  

Kuruma gönderilen yazıda özetle;

  • 12.07.2021 tarihinde yapılan siber saldırı sonucu hasta bilgilerini barındıran bilgisayarların şifrelenerek erişimin engellendiği,
  • İhlalden etkilenen ilgili kişi gruplarının hastalar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, görsel ve işitsel kayıtlar olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise ırk ve etnik köken bilgisi ile sağlık bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının tahmini 14.000 olduğu

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.07.2021 tarih ve 2021/729 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

[1] Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.