Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan DLSY Adi Ortaklığı (Daelim İnşaat Geliştirme AŞ, Limak İnşaat Sanayi ve Ticaret AŞ, SKEC Anadolu Mühendislik ve İnşaat Ltd. Şti., SK Engineering & Construction Co. Ltd. ve Yapı Merkezi İnşaat ve Sanayi AŞ) tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;

• Veri sorumlusuna ait bazı sunucu ve dosyaların saldırganlar tarafından şifrelenerek fidye talebinde bulunulduğu,
• İhlalin 24.04.2021 tarihinde başladığı ve yine aynı tarihte tespit edildiği,
• Saldırıdan etkilenen sunuculardaki kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, fiziksel mekan güvenliği, işlem güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri olabileceği, ancak hangi kategorideki kişisel verilerin etkilendiğinin kesin olmadığı,
• İhlalden etkilenen kişi ve kayıtların net bir şekilde tespitinin yapılamamış olduğu ancak ihlalden etkilenen tahmini kişi sayısının 20.000 olduğu,
• İhlalden adi ortaklık çalışanları, adi ortaklık çalışan yakınları ve taşeron çalışanlarının etkilendiğinin düşünüldüğü,
• İhlale ilişkin araştırmaların devam ettiği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 27.04.2021 tarih ve 2021/444 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.