Duyurular

Veri Sorumlusu Yamaha Motor Europe N.V.’nin CRM Sisteminde Gerçekleşen Güvenlik Açığına Yönelik Veri İhlali Bildirimi

Kişisel Verilerin Korunması Hukuku, Data Protection Law

Kişisel Verileri Koruma Kurumunun (“Kurum) internet sayfasında yayınlanan kamuoyu duyurusuyla Yamaha Motor Europe N.V.nin Müşteri Kayıt Yönetimi (“CRM”) sisteminde yer alan müşteri bilgilerinin veri ihlaline uğradığı paylaşılmıştır.

Söz konusu ihlal, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin[1] (5) numaralı fıkrası doğrultusunda, bildirim yükümlülüğü kapsamında, veri sorumlusu tarafından Kuruma bildirilmiştir.  

Veri sorumlusu sıfatını haiz olan Yamaha Motor Europe N.V. tarafından Kuruma gönderilen yazıda özetle;

  • İhlalin, bağımsız bir siber güvenlik araştırmacısının CRM sisteminde bulunan bir güvenlik açığını veri sorumlusuna bildirmesi üzerine 26.03.2024 tarihinde tespit edildiği,
  • İhlalin başlama tarihinin net olarak bilinmediği, 2019 yılında başlamış olabileceği,
  • İhlalden etkilenen kişisel veri kategorilerinin ad-soyad, cinsiyet, e-posta adresi, (dahili) müşteri numarası verileri ile az sayıda kişi için ise bunlara ek olarak posta adresi ve telefon numarası verileri olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
  • CRM sistemine 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının bu güvenlik açığından etkilendiğinin düşünüldüğü,
  • Türkiye’de ihlalden etkilenen ilgili kişi sayısının 35.988 kişi olabileceği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 3.04.2024 tarih ve 2024/587 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Söz konusu kamuoyu duyurusu metnine buradan ulaşabilirsiniz.

 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

 

 

 

 

[1] Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.