Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan UiPath SRL tarafından Kurumumuza gönderilen kişisel veri ihlali bildiriminde özetle;

• Veri sorumlusunun, kullanıcıların UiPath yazılımını öğrenmelerini sağlayan UiPath Akademisinin(Akademi) idaresi amacıyla, Akademiye katılan kullanıcıların kayıt bilgilerini içeren bir dosya tuttuğu, veri sorumlusu çalışanının söz konusu dosyayı kullanıcıların kaydını tutmak amacıyla bir tedarikçinin yazılım platformuna yüklediği,
• Yetkisiz bir kullanıcının, dosya izin ayarlarında kazara gerçekleştirilen yanlış bir yapılandırma nedeniyle dosyaya eriştiği,
• Veri ihlalinin 01.12.2020 tarihinde, bir üçüncü tarafın veri sorumlusuna etkilenen dosyanın halka açık bir internet sitesinde ulaşılabilir durumda olduğunu bildirmesiyle tespit edildiği,
• İhlalden kişilerin ad ve soyadı, kullanıcı adı, eposta adresi, duruma göre kullanıcının işvereni olan şirketin ismi, kullanıcının ülkesi, veri sorumlusu tarafından verilen UiPath Akademi sertifikasyon düzeyi ve artık şirket tarafından kullanılmamakta olan UID kodu bilgilerinin etkilenmiş olabileceği,
• İhlalden etkilen kişi grubunun kullanıcılar olduğu,
• İhlalden Türkiye’yi kendi ülkesi olarak belirten 4,692 kişinin etkilendiği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.12.2020 tarih ve 2020/984 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.