Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Araç çağırma hizmeti sunmak üzere Türkiye’deki faaliyetlerini Careem Networks Teknoloji A.Ş. aracılığıyla yürüten Dubai merkezli Careem Inc. (Şirket) unvanlı şirketten alınan 18.04.2018 tarihli yazıda;

• Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018 tarihinde yetkisiz üçüncü kişilerce erişim sağlandığı, (yapılan inceleme sonucunda konuya ilişkin tespitlerin 21.03.2018 tarihinde ortaya çıktığı,)
• Şirket tarafından adli bilişim incelemesi başlatıldığı ve önde gelen bir siber güvenlik şirketinin konu ile ilgili görevlendirildiği,
• Söz konusu yetkisiz erişimden Türkiye’de mukim 103.337 müşteri ile 900 araç sürücüsünün etkilendiği,
• Yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin isim, telefon numarası, kredi kartı bilgisi, e-posta adresi, kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası, araç modeli, plaka numarası, yolculuk özeti, uluslararası banka hesap numarası, T.C. kimlik numarası ve ehliyet numarası bilgilerinin olabileceği

bilgisine yer verilmiştir.

Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun 02.05.2018 tarih ve 2018/45 sayılı Kararı ile Careem Inc. nezdinde gerçekleşen söz konusu yetkisiz erişimin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Öte yandan, konuya ilişkin sorular için https://blog.careem.com/security internet sitesinin ziyaret edilmesi veya infosupport@careem.com e-posta adresi üzerinden destek alınması mümkün bulunmaktadır.

Kamuoyuna saygıyla duyurulur.