Duyuruda, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12'nci maddesi gereğince işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiği anımsatıldı.
İHLALDEN ÇALIŞANLAR VE HASTALAR ETKİLENDİ
Şirket tarafından Kurula iletilen veri ihlal bildiriminde, veri sorumlusu sistemlerine siber bir saldırı gerçekleştirildiği, ihlalin 15 Mart'ta başladığı ve 16 Mart'ta tespit edildiği belirtildi.
İhlalin veri sorumlusu bünyesinde bilgi işlem müdürü olarak çalışan personele iletilen bir elektronik postayla öğrenildiği aktarılan duyuruda, saldırganın bir metin dosyası halinde tüm klasörlerin listesini veri sorumlusuna iletmek suretiyle veri tabanı ve birçok dokümanı ele geçirdiğini, saldırgan kişi veya kişilerin, klasörlerin içeriğine erişip erişemediği konusunda danışmanlık şirketi tarafından incelemenin ise devam ettiği ifade edildi.
GENETİK VERİ DETAYI
İhlalden etkilenenlerin çalışanlar ve hastalar olduğuna işaret edilen duyuruda, şu bilgiler yer aldı:
"İhlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, finans, mesleki deneyim, pazarlama bilgileri olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler ile genetik veri olduğu, ihlalden etkilenen tahmini kişi sayısının 500 bin ve tahmini kayıt sayısının 2 milyon 500 bin olduğu bilgilerine yer verilmiştir."
Kurul, konuya ilişkin incelemenin devam ettiğini bildirdi.