Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Acer Bilişim Teknolojileri Limited Şirketi tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;

• İhlalin, veri sorumlusunun, EMEA Bölgesindeki (Avrupa, Ortadoğu, Afrika– Türkiye de dahil) yerel sunucularına 14.03.2021 tarihinde bir fidye yazılımı saldırısı yapılarak EMEA Bölgesinde kullanılan sistemlerde bulunan verilerin yaklaşık yarısının şifrelenmesi sonucu gerçekleştiği,
• İhlalin nedeni, sonuçları ve ilgili kişiler üzerinde potansiyel etkileri hakkında veri sorumlusu nezdinde araştırmaların devam ettiği,
• İhlalden etkilen kişi grubunun çalışanlar olduğu,
• İhlalden, kimlik, iletişim, özlük verileri ve özel nitelikli kişisel veri olan sendika üyeliği verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının tespit edilemediği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.03.2021 tarih ve 2021/272 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.