Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

ABD merkezli otel zinciri olan Marriott International, Inc. (Şirket) unvanlı şirketten alınan 04.12.2018 tarihli yazıda;

• 8 Eylül 2018 tarihinde, kurum içi güvenlik aracından Starwood konuk rezervasyon veri tabanına erişim girişimi ile ilgili uyarı aldıkları,
• Yaptıkları inceleme sırasında 2014 yılından itibaren Starwood ağına yetkisiz erişim olduğu,
• Yetkisiz erişim yapan tarafın bilgileri kopyalayarak şifrelediği,
• 19 Kasım 2018 tarihinde Şirket tarafından bilgilerin şifresinin çözüldüğünü ve içeriğin Starwood konuk rezervasyon veri tabanından alındığı,
• 20 Eylül 2018 tarihinde veya öncesinde bir Starwood tesisinde rezervasyon yapmış olan ve sayıları yaklaşık 500 milyonu bulan konuğa ilişkin bilgilerin yer aldığı,
• Bu konuklardan yaklaşık 327 milyonuna ilişkin bilgiler arasında ad soyad, posta adresi, telefon numarası, e-posta adresi, pasaport numarası, Starwood Tercih Edilen Konuk (“SPG”) hesabı bilgileri, doğum tarihi, cinsiyet, varış ve ayrılış bilgileri, rezervasyon tarihi ve iletişim tercihlerinin çeşitli kombinasyonlarının yer aldığı,
• Bazı kişilere ilişkin bilgiler arasında İleri Şifreleme Standardı ile şifrelenmiş ödeme yapılan kartların numaraları ve bu kartların son kullanma tarihlerinin bulunduğu, ancak bu şifrelerin çözülüp çözülemediğini söyleyemedikleri,
• Starwood markalı; W Hotels, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels ve devremülk tesisleri olduğu,

bilgilerine yer verilmiştir.

Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun 05.12.2018 tarih ve 2018/147 sayılı Kararı ile Marriott International, Inc. ve bağlı kuruluşları nezdinde gerçekleşen söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Öte yandan, konuya ilişkin sorular için info.starwoodhotels.com internet sitesinin ziyaret edilmesi mümkün bulunmaktadır.

Kamuoyuna saygıyla duyurulur.

Veri İhlaline İlişkin Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Karar Özeti