VERİ İHLALİ BİLDİRİMİ

06.12.2018

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesinin 5. fıkrası gereği, veri sorumlusunun, faaliyetleri sebebiyle işlediği kişisel verilerin kanuni olmayan yollarla ihlal edilmesi halinde, bu durumu, ilgili kişiye ve Kişisel Verileri Koruma Kuruluna (“Kurul”) bildirme yükümlülüğü bulunmaktadır. Kurul ise böyle bir durumda kendi internet sitesi veya veri sorumlusunun internet sitesinde söz konusu durumun kamuoyuna duyurulmasına karar verebilecektir. Veri sorumlularının KVKK kapsamında getirilen yükümlülüklerine aykırı davranması halinde, Kurul tarafından ayrıca idari yaptırım uygulanabilecektir.

İhlal Bildirimi Hakkında;

ABD merkezli otel zinciri olan Marriott International, Inc. (“Şirket”) 04.12.2018 tarihinde Kurula;

• 8 Eylül 2018 tarihinde, kurum içi güvenlik aracından Starwood konuk rezervasyon veri tabanına erişim girişimi ilgili alınan uyarı üzerine gerçekleştirilen inceleme sonucunda, 2014 yılından itibaren Starwood ağına yetkisiz erişim sağlandığının tespit edildiği,
• Söz konusu yetkisiz erişimi sağlayan tarafın bilgileri kopyalayarak şifrelediği; ilgili bilgilerin şifresinin 19 Kasım 2018 tarihinde Şirket tarafından çözüldüğü ve içeriğin Starwood konuk rezervasyon veri tabanından alındığı,
• 20 Eylül 2018 tarihinde veya öncesinde bir Starwood tesisinde rezervasyon yapmış olan 500 milyon konuğa ilişkin bilgilerin yer aldığı ve bu konuklardan yaklaşık 327 milyonuna ilişkin bilgiler arasında ad soyad, posta adresi, telefon numarası, e-posta adresi, pasaport numarası, Starwood Tercih Edilen Konuk (“SPG”) hesabı bilgileri, doğum tarihi, cinsiyet, varış ve ayrılış bilgileri, rezervasyon tarihi ve iletişim tercihlerinin çeşitli kombinasyonlarının yer aldığı,
• Bazı konuklara ilişkin bilgiler arasında ileri şifreleme standardı ile şifrelenmiş ödeme yapılan kartların numaraları ve bu kartların son kullanma tarihlerinin bulunduğu, ancak bu şifrelerin çözülüp çözülemediği konusunda henüz bir tespit yapılamadığı,
• W Hotels, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels ve devremülk tesislerinin Starwood markalı olduğu hususlarında yazılı bir bildirimde bulunmuştur.

Kurul yaptığı değerlendirmeler neticesinde, 05.12.2018 tarih ve 2018/147 sayılı Kararı ile Marriott International, Inc. ve bağlı kuruluşları nezdinde gerçekleşen veri ihlalinin, kendi internet sayfasında ilan edilmesine karar vermiştir.

İlgili bildirime buradan ulaşabilirsiniz.

İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.

Ersin Nazalı Yönetici Ortak, Avukat, YMM enazali@nazali.av.tr

Hatice Zümbül Direktör, Dava ve Uyuşmazlık Çözümü hzumbul@nazali.av.tr

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz