Kamuoyu Duyurusu (Veri İhlali Bildirimi) - Garanti Filo Yönetim Hizmetleri A.Ş.


Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Garanti Filo Yönetim Hizmetleri A.Ş. (Garanti Filo) unvanlı şirket tarafından Kurumumuza gönderilen 20.02.2019 tarihli yazıda özetle;

  • Garanti Filo’nun sürdürmekte olduğu ticari faaliyet kapsamında, müşterilerine kiralamış olduğu araçların kazaya karışması halinde hasar onarımlarının ve buna ilişkin ihtiyaçlarının (çekici, ikame araç, servis yönlendirmesi gibi) karşılanması ve bahse konu hizmetlerin daha etkin sürdürülmesi amacı ile Optimum Otomotiv Satış sonrası Çözümleri Tic. A.Ş.’den (OPTİMUM) destek aldığı,
  • OPTİMUM tarafından Garanti Filo’ya, bilgisayar sistemlerine yapılan bir siber saldırı sonucunda sistemlerinde kayıtlı bir kısım verilerin yetkisiz kişilerin eline geçmiş olabileceğinin aktarıldığı,
  • Kiraya verilen araçlara ait plaka bilgileri ve hizmet koşullarına ilişkin bilgiler ile kiracılara ait isim ve unvan bilgilerinin OPTİMUM ile paylaşıldığı,
  • Gerçek kişi müşterilerinin isim ve soy isim, tüzel kişi müşterilerinin ise unvan bilgisinin OPTİMUM ile paylaşıldığı,
  • Garanti Filo’dan OPTİMUM’a doğrudan aktarılan yaklaşık 90 gerçek kişi müşteriye ait kişisel verinin (isim, soy isim) yetkisiz kişilerin eline geçtiğinin değerlendirildiği,
  • Garanti Filo haricinde; OPTİMUM’un iş birliği yaptığı, çalıştığı diğer şirket/kuruluşlar vasıtası ile de OPTİMUM’un yine Garanti Filo müşterisi olan gerçek kişilere ait kişisel verileri topladığı ve bu kişisel verilerin (kimlik, ehliyet, kaza tutanağı, kazaya ilişkin beyan evrakı, alkol raporu, adres ve iletişim bilgisi) yetkisiz kişilerin eline geçmiş olabileceğinin değerlendirildiği

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 25.02.2019 tarih ve 2019/32 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

 

Kurumsal

Mevzuat

Veri Sorumlusu

İlgili Kişi

Yayınlar