Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Clickbus Seyahat Hizmetleri A.Ş. (Nereden Nereye)


Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Clickbus Seyahat Hizmetleri A.Ş. (“ClickBus”) unvanlı şirket tarafından Kurumumuza gönderilen 07.02.2019 tarihli yazıda özetle;

  • Ekim ve Kasım 2018 tarihlerinde ClickBus sunucularında bazı olağan dışı faaliyetler gerçekleştiği,
  • Yapılan incelemede, 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde ClickBus’ı kullanan müşterilerinin bilgilerinin yer aldığı bilgi sistemlerine izinsiz erişim sağladığı yönünde kanıtlar tespit edildiği,
  • Veri ihlalinden 67.519 kişinin etkilenmiş olabileceği,
  • Veri ihlaline konu olan veriler içerisinde; Ödeme Anahtarı, Yolculuk Numarası, Sepet Numarası, Sipariş Numarası, Toplam Tutar, Seyahat Türü, Her Yolcunun Kimlik Bilgileri (Cinsiyet, Ad, TCKN, Doğum tarihi, Kalkış/varış yer ve saati, Yolcu başına ücret, Referans numarası ve Yolcu türü), İletişim Bilgileri (Cep telefonu ülke kodu, Cep telefonu numarası, Sabit hat ülke kodu, Sabit hat numarası, Sabit hat uzantısı/dahilisi, E-posta adresi, Sms gönderi izni, Ticari elektronik ileti izni), Ödeme Bilgileri (Kart üzerinde yazan isim, Kart numarası, Kartın son kullanma tarihindeki ay/yıl, Kartın güvenlik kodu, Taksit bilgisi, İndirim kodu, Seyahat sigortası alınıp alınmadığına ilişkin bilgi, Site kullanım koşullarını kabul bilgisi), Segmentler, Ödeme Seçenekleri, Hata Sebebi, Oturum Kimliği (Session ID), Oturum simgesi (Session token) gibi kişisel verilerin olduğu,
  • ClickBus tarafından herhangi bir kişisel verinin kötüye kullanıldığına dair bir kanıta rastlanmadığı

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 14.02.2019 tarih ve 2019/29 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

 

Veri İhlaline İlişkin Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Karar Özeti

 

Kurumsal

Mevzuat

Veri Sorumlusu

İlgili Kişi

Yayınlar