Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Alexion İlaç Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;

• İhlalin 13.02.2024-21.02.2024 tarihleri arasında gerçekleştiği ve 05.05.2024 tarihinde tespit edildiği,
• Veri sorumlusunun klinik araştırmalar için hizmet aldığı eClinical Solutions LLC’nin (veri işleyen) sistemlerine siber saldırı düzenlendiği,
• Veri işleyenin sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırıldığının tespit edildiği,
• İhlalden etkilenen ilgili kişi gruplarının; sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler ile klinik araştırma katılımcıları/gönüllüleri (denek) olduğu,
• İhlalden, 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişinin etkilendiği,
• İhlalden etkilenen kişisel verilerin;
  • Klinik araştırmaya katılan katılımcılar/gönüllüler için (tamamı “pseudonym (takma adlaştırılarak/kodlanarak)” olmak üzere); katılımcı kimliği (anahtar kodlu tanımlayıcı), çalışma adı, durum, açık rıza tarihi, ekran arıza tarihi, rastgele tarih, kol/kohort/startifikasyon, ilk doz tarihi, güncel doz tarihi, son doz tarihi, en son ziyaret tarihi, yeniden tarama sayısı, önceki katılımcı kimliği, yaş, cinsiyet, ırk, etnik köken, rastgeleleştirilmiş dönem sonu, tedavinin durdurulma nedeni, tedavinin durdurulduğu tarih, çalışmanın durdurulma nedeni, çalışmanın durdurulduğu tarih, tamamlanan çalışma, çalışmanın tamamlanma tarihi, ölüm tarihi, SDVTier, katılımcı kimliği, doğum yılı, laboratuvar sonuçları, aralık içerisinde değeri (with in range), laboratuvar tarihi, kullanılan ilaçlar, tıbbi geçmiş bilgileri olduğu,
  • Sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler için; saha personeli bilgileri, UserOID, giriş adı, ekran adı, tam ad, kullanıcı rolü, ülke, kurumsal iletişim bilgileri (adres, e-posta, faks, telefon, lisans numarası) olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.05.2024 tarih ve 2024/759 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.