Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Derindere Turizm Otomotiv San. ve Tic. A.Ş. (DRD) unvanlı şirket tarafından Kurumumuza gönderilen 18.02.2019 tarihli yazıda özetle;

• Derindere Turizm Otomotiv San. ve Tic. A.Ş.’nin müşterilerine kiralık olarak kullandırdığı araçlar ve süreçler ile ilgili Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş.’den (OPTİMUM) hasar yönetim sistemi desteği, yedek parça tedarik sistem hizmeti ve sistem entegrasyon hizmeti aldığı,
• DRD çalışanları, DRD müşteri ve çalışanları, araç kullanıcıları, servis tedarikçi ve çalışanları, sigorta hizmeti sağlayan sigorta şirketleri ve çalışanları, araçların karşılaştığı kazalarda karşı taraf sürücüleri ve diğer bütün ilgili kişiler hakkındaki kişisel verileri DRD adına işletmekte olan OPTİMUM sunucularına yetkisiz erişimin gerçekleştiği,
• Yetkisiz erişim sonrasında hangi kişisel verilerin nasıl etkilendiğine ilişkin DRD’ye henüz bilgi verilmediği

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 25.02.2019 tarih ve 2019/30 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.