Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

TEB ARVAL ARAÇ FİLO KİRALAMA A.Ş. (TEB ARVAL) unvanlı şirket tarafından Kurumumuza gönderilen 21.01.2019 tarihli yazıda;

• TEB ARVAL şirketinin müşterilerine kiraladığı araçların hasar ve kaza süreçlerini yönetmek amacıyla Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş.’den (“OPTİMUM”) taraflar arasında 13 Eylül 2013 tarihinde imzalanan sözleşme kapsamında dış kaynak destek hizmeti aldığı,
• TEB ARVAL şirketinin OPTİMUM şirketine ait Optimum Çözüm uygulamasını kendi operasyonlarında yürütmede kullandığı,
• Optimum Çözüm uygulamasının temel olarak hasar veya kaza durumlarında onarım ve ödeme süreçlerinin yürütülmesi ve takibi amacıyla kullanıldığı,
• Optimum Çözüm uygulamasının müşteri, sürücü, tedarikçi ve üçüncü kişi bilgilerini içerebildiği,
• Optimum Çözüm uygulamasının yazılım, geliştirme, barındırma hizmetleri ve işletilmesinin bizzat OPTİMUM şirketi tarafından sağlandığı,
• 11.01.2019 tarihinde, bilinmeyen kişiler tarafından TEB ARVAL kurumsal internet sitesinde yer alan müşteri iletişim formu kullanılarak; Optimum Çözüm uygulamasına yetkisiz şekilde erişildiği ve şirketlerine ait verilerin ele geçirildiği mesajı iletildiği, bu mesajın alınmasını müteakip konunun veri güvenliği ve diğer ilgili birimler tarafından incelenmeye başlandığı,
• Optimum Çözüm uygulamasının kullanılmaya başlandığı 13 Eylül 2013 tarihinden itibaren TEB ARVAL’den Optimum Çözüm uygulamasını kullanarak hasar ve kaza yönetimi hizmeti almış olan müşteriler, sürücüler, tedarikçiler ve TEB ARVAL’e ait araçların dahil olduğu kazaya karışmış olan üçüncü şahısların söz konusu veri sızıntısından etkilenmiş olabileceğinin değerlendirildiği,
• OPTİMUM şirketinden alınan hizmetin kapsamı gereği, veri sızıntısına konu kişisel verilerin temel olarak; ehliyet, nüfus cüzdanı, pasaport, kaza tespit tutanağı, kaza beyanı, araç ruhsatı, polis/jandarma kaza tutanakları, trafik sigortası ve diğer ilgili sigorta poliçeleri, kazalı araçların ve olay yerini fotoğrafları, varsa sağlık raporu, sigorta eksperi raporları, hasar onarım ve/veya yedek parça faturaları, hasar veya kaza ile ilgili varsa diğer belgeler ile sürücülerin e-posta adresleri olduğunun değerlendirildiği,

bilgilerine yer verilmiştir.

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/15 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.