Kişisel Verilerin Korunması Kurumu (“Kurum”), 9 Ekim 2024 tarihinde art arda iki ihlal bildirimi yayınlamış ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kamuoyuna duyurmuştur. Söz konusu ihlal bildirimlerinin ilki veri sorumlusu sıfatını haiz Atılım Üniversitesi, ikincisi de veri sorumlusu sıfatını haiz Kilis 7 Aralık Üniversitesi tarafından Kurul’a bildirilmiştir.
1. Kilis 7 Aralık Üniversitesi Tarafından Kurula İletilen Veri İhlali Bildirimi
Kamuoyu Duyurusu’nda özetlendiği üzere 7 Aralık Üniversitesi tarafından Kurul’a iletilen veri ihlali bildiriminde:
- İhlalin kaynağı ve nasıl gerçekleştiği hususlarının henüz tespit edilemediği,
- Yetkisiz erişim neticesinde veri gizliliğinin ihlalden etkilendiği,
- İhlalin başlama tarihinin bilinmediği, 25.09.2024 tarihinde sona erdiği,
- İhlalin, Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından gelen bildirim üzerine 24.09.2024 tarihinde tespit edildiği,
İhlalden etkilenen ilgili kişi gruplarının; öğrenciler, müşteriler ve potansiyel müşteriler olduğu
İhlalden etkilenen kişisel verilerin;
- Yatay Geçiş Tablosu içinde yer alan T.C. kimlik numarası, ad, soyadı, adres, telefon numarası verileri,
- Sağlık Kültür Spor Kayıt Tablosu içinde yer alan T.C. kimlik numarası, ad, soyadı, telefon numarası verileri,
- Halı Saha Rezervasyon Tablosu içinde yer alan ad, soyadı, mail, telefon numarası verileri,
- Formasyon Tabloları içinde yer alan T.C. kimlik numarası, ad, soyadı, telefon numarası verileri olduğu,
- İhlale konu tablolarda 2.747 kişinin verilerinin bulunduğu
Bilgileri yer almaktadır.
Bildirime ilişkin inceleme devam etmektedir. Kurul’un 09.10.2024 tarihli ve 2024/1722 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurum’un internet sitesinde ilan edilmesine karar verilmiştir.
1. Atılım Üniversitesi Tarafından Kurula İletilen Veri İhlali Bildirimi
Kamuoyu Duyurusu’nda özetlendiği üzere Atılım Üniversitesi tarafından Kurul’a iletilen veri ihlali bildiriminde:
- Siber saldırgan/saldırganların, veri sorumlusu sistemlerine yetkisiz erişim sağladığı ve burada yer alan bir servis aracılığıyla Yükseköğretim Kurulu Başkanlığı’na ait Yükseköğretim Bilgi Sistemi (YÖKSİS) üzerinden bazı kişilerin eğitim bilgilerini sorguladığı,
- İhlalin 09.05.2024 tarihinde başladığı ve 05.06.2024 tarihinde sona erdiği,
- İhlale konu servis üzerinden, sadece aktifliği olan (okumakta olan) öğrencilerin YÖKSİS eğitim bilgilerinin (T.C. kimlik numarası ile) sorgulanabildiği,
- İhlalden etkilenen kişi sayısının net olarak tespit edilemediği bilgileri yer almaktadır.
- Bildirime ilişkin inceleme devam etmektedir. Kurul’un 09.10.2024 tarihli ve 2024/1762 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
- 2. Hukuki İnceleme
- 6698 sayılı ve 24/03/2016 tarihli Kişisel Verilerin Korunması Kanununun (“Kanun”) 3. maddesi (d) bendinde tanımlandığı üzere kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Kurul tarafından yayımlanan Kamuoyu Duyurusunda da hangi tür kişisel verilerin ihlalden etkilendiği yer almaktadır.
- Kanunun 12. maddesinin 5. fıkrası uyarınca: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Kurul, Kanununun 15. maddesinin 1. fıkrası uyarınca “şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.”
- Aynı maddenin 5. fıkrası hükmüne göre “inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.”
- Yukarıda belirtilen ilgili kanun hükümleri uyarınca veri sorumluları için belirlenen yükümlülüklere uygun olarak Atılım Üniversitesi ve Kilis 7 Aralık Üniversitesi bildirimde bulunmuş, Kurul ise kanundan doğan görev ve yetkileri kapsamında ihlal incelemesi sürerken durumu kamuoyuna duyurmuştur.
