Kıdemli Avukat


A-

A+

“Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi hakkında” Karar Özeti

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 7.2.2022 tarihinde, Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi (“Yemek Sepeti”) veri ihlali bildirimine ilişkin yayınladığı 23.12.2021 tarih ve 2021/1324 sayılı kararı sizin için aşağıdaki şekilde özetledik.

Kişisel Verileri Koruma Kurumu’na iletilen veri ihlal bildiriminde özetle aşağıdaki hususlara yer verilmiştir:

18.3.2021 tarihinde

kimliği tespit edilemeyen kişiler tarafından Yemek Sepeti’ne ait bir web uygulama sunucusuna erişilmiştir.

25.3.2021 tarihinde

gelen alarmlar incelediğinde ise, şüpheli bir davranış olduğu ve web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği tespit edilmiştir.

21.504.083 Yemek Sepeti kullanıcısının

ihlalden etkilendiği ve ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu belirtilmiştir.

Buna ilaveten, veri ihlal bildiriminde, saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu belirtilmiştir.

Kurul, yaptığı incelemede ise;

Kurul, bu hususları dikkate aldığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 12. maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Yemek Sepeti hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar vermiştir.

Kurul tarafından yayınlanan tam metne https://kvkk.gov.tr/Icerik/7168/2021-1324 bağlantısından ulaşabilirsiniz.