Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

ALD AUTOMOTIVE TURİZM TİCARET A.Ş. (ALD AUTOMOTIVE) unvanlı şirket tarafından Kurumumuza gönderilen 22.01.2019 tarihli yazıda;

• Veri sorumlusu sıfatını haiz olan ALD AUTOMOTIVE’in müşterilerine kiralık olarak kullandırdığı araçlar ve süreçler ile ilgili Optimum Otomotiv Satış sonrası Çözümleri Tic. A.Ş. (OPTİMUM) şirketinden Hasar Yönetim Sistem Desteği, Yedek Parça Tedarik Sistem Hizmeti, Anlaşmalı Servis Yönetim Sistem Desteği, Hasar Uzmanı Outsource Hizmeti, Mekanik Bakım Onarım Sistem Hizmeti, Sistem Entegrasyonu, İkame Araç Modülü, Servis Network Yönetimi hizmetlerini aldığı,
• OPTİMUM tarafından yönetilen sistemde veri sorumlusu ve çalışanları, veri sorumlusu müşterileri ve çalışanları, veri sorumlusu araç kullanıcıları, veri sorumlusu servis tedarikçileri ve çalışanları, veri sorumlusu sigorta hizmetlerini gören sigorta şirketleri ve çalışanları, veri sorumlusunun araçlarının karıştığı kazalarda karşı taraf sürücüleri ve diğer bütün ilgili kişiler hakkındaki kişisel verilerin işlendiği,
• OPTİMUM şirketinin web sitesine yasa dışı yollarla (siber saldırı) girilmiş olduğu ve bu vesile ile sunucu (server) sistemine ulaşıldığına ilişkin OPTİMUM tarafından ALD AUTOMOTIVE’e detay verilmeden 14.01.2019 tarihinde telefon ile 15.01.2019 tarihinde ise e-posta ortamında bilgi verildiği,
• Siber saldırı neticesinde birçok kişi, şirket, kurum kuruluşa ait kişisel verilerin kopyalanmış olabileceği,
• Siber saldırı sonucunda veri kopyalama yapılıp yapılmadığı, yapıldı ise hangi verilerin kopyalandığına ilişkin ALD AUTOMOTIVE ile bilgi paylaşılmadığı ve halihazırda belirgin olmadığı,
• Siber saldırı ile ele geçirildiği belirtilen veriler ile ilgili kesin bir durumun olmadığı,
• Veri ihlali sebebiyle ele geçirilen veri olup olmadığı, varsa bu verilerin hangi firmanın müşterisi olduğu veya kimlerin verilerinin ele geçirildiğinin tespit edilmeye çalışıldığı

bilgilerine yer verilmiştir.

Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/14 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.