Duyurular

Kişisel Verileri Koruma Kurulu Tarafından Veri İhlali Bildirimine İlişkin Dört Adet Kamuoyu Duyurusu Yayımlanmıştır

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından farklı sektörlerde faaliyet gösteren veri sorumlularına ait dört adet veri ihlali bildirimi 25.03.2026 tarihli Kurul kararları doğrultusunda Kişisel Verileri Koruma Kurumunun (“Kurum”) resmi internet sitesinde ilan edilmiştir.

Söz konusu ihlaller, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrası kapsamında veri sorumluları tarafından Kurul’a bildirilmiştir.

25.03.2026 tarih ve 2026/555 sayılı Kurul Kararı ile Kurum’un internet sitesinde yayımlanan sağlık sektöründe faaliyet gösteren bir şirkete ilişkin veri ihlali bildiriminde özetle;

  • İhlalin 09.03.2026 tarihinde başladığı ve aynı gün tespit edildiği,
  • Veri sorumlusunun kullandığı yazılıma yönelik gerçekleştirilen siber saldırı sonucunda verilerin yetkisiz kişilerce ele geçirildiği, ancak ihlalin kapsamının henüz tam olarak belirlenemediği,
  • İhlalden etkilenen kişisel veri kategorisinin sağlık verileri olduğu,
  • İhlalden etkilenen kişi sayısının henüz tespit edilemediği,
  • İhlalden etkilenen ilgili kişi grubunun hastalar olduğu,
  • İlgili kişilerin veri ihlaline ilişkin bilgiye veri sorumlusunun internet sitesi ve çağrı merkezi aracılığıyla ulaşabileceği

belirtilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

 

25.03.2026 tarih ve 2026/600 sayılı Kurul Kararı ile Kurum’un internet sitesinde yayımlanan kamu hizmetleri ve çok alanlı hizmet sunumu gerçekleştiren bir şirkete ilişkin veri ihlali bildiriminde özetle;

  • Veri sorumlusunun 16.03.2026 tarihinde fidye yazılımı saldırısına maruz kaldığı, sunuculardaki ve yedeklenen verilerin şifrelendiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, finans, mesleki deneyim, pazarlama, sendika üyeliği, sağlık verileri ve biyometrik veriler olduğu,
  • İhlalden etkilenen kişi sayısının 10.000’den fazla olduğunun tahmin edildiği,
  • İhlalden etkilenen ilgili kişi grubunun çalışanlar olduğu, başka kişi gruplarının etkilenip etkilenmediğinin henüz belirlenemediği

belirtilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

 

25.03.2026 tarih ve 2026/557 sayılı Kurul Kararı ile Kurum’un internet sitesinde yayımlanan tıbbi teknoloji ve sağlık çözümleri alanında faaliyet gösteren yurt dışı merkezli bir şirkete ilişkin veri ihlali bildiriminde özetle;

  • İhlalin 27.02.2026-07.03.2026 tarihleri arasında gerçekleştiği ve 06.03.2026 tarihinde tespit edildiği,
  • Bir çalışana ait oturum açma bilgilerinin ele geçirilmesi suretiyle kişisel verilere yetkisiz erişim sağlandığı,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu; ayrıca tıbbi cihaz şikâyetleri kapsamında yer alan hastalara ait verilerin de ihlale konu olduğu, ancak bu verilerin psödonimleştirilmiş olması nedeniyle kimlik tespitinin ek veri olmaksızın mümkün olmadığı,
  • İhlalden etkilenen kişi sayısının 1.885 olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, mesleki deneyim ve sağlık verileri olduğu,
  • İlgili kişilerin veri ihlaline ilişkin bilgiye veri sorumlusunun e-posta adresi aracılığıyla ulaşabileceği

belirtilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

 

25.03.2026 tarih ve 2026/558 sayılı Kurul Kararı ile Kurum’un internet sitesinde yayımlanan tıbbi cihaz dağıtımı alanında faaliyet gösteren bir şirkete ilişkin veri ihlali bildiriminde özetle;

  • İhlalin 27.02.2026-07.03.2026 tarihleri arasında gerçekleştiği ve 06.03.2026 tarihinde tespit edildiği,
  • Veri sorumlusunun yurt dışı merkezli bir tıbbi teknoloji şirketinin Türkiye distribütörü olduğu ve ihlalin söz konusu ana şirket nezdinde gerçekleşen yetkisiz erişim sonucu ortaya çıktığı,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu; ayrıca tıbbi cihaz şikâyetleri kapsamında yer alan hastalara ait verilerin de ihlale konu olduğu, ancak bu verilerin psödonimleştirilmiş olması nedeniyle kimlik tespitinin ek veri olmaksızın mümkün olmadığı,
  • İhlalden etkilenen kişi sayısının henüz belirlenemediği,
    İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, mesleki deneyim ve sağlık verileri olduğu,
  • İlgili kişilerin veri ihlaline ilişkin bilgiye e-posta aracılığıyla ulaşabileceği

 

belirtilmiştir.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.

 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.