Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Exeltis İlaç Sanayi ve Ticaret A.Ş. tarafından Kurumumuza gönderilen 14.01.2020 tarihli yazıda özetle;

• İhlalin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber saldırı olarak şirketin yetkili kullanıcı şifresi ele geçirilerek meydana geldiği,
• İhlalin 11.01.2020 tarihi saat 22.00’da başladığı, 12.01.2020 tarihi saat 03.00’da sona erdiği ve 12.01.2020 tarihi saat 13.05’te tespit edildiği,
• İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans ve pazarlama bilgileri; ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri olduğu,
• İhlalden etkilenen kişilerin çalışanlar, kullanıcılar, müşteriler ve potansiyel müşteriler olduğu,
• İhlalden etkilenen tahmini kişi sayısının yaklaşık 1.000 civarı olduğu ve kesin sayının henüz tespit edilemediği,
• İlgili kişilerin veri ihlaliyle ilgili olarak Bilişim Departmanı yardım masası veya KVKK Komitesi’nden e-posta veya telefon ile bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.01.2020 tarih ve 2020/46 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.