π'den Siber Dedikodular: Aralık ayında AB, ABD, Singapur ve Türkiye'den Veri Sızıntısı/Veri İhlali

 

AB 2024

Yetki İtalyan Veri Koruma Otoritesi (Garante)

Şirket Selectra SpA - İtalya

Özet İtalyan Veri Koruma Ajansı, Selectra SpA'ya 80.000 avro para cezası verdi. Eski bir çalışan, denetleyicinin iş ilişkisinin sona ermesinden sonra bile e-posta gelen kutusuna erişebildiği gerekçesiyle DPA'ya şikayette bulundu. DPA, e-postalar için bu kadar uzun bir saklama süresinin (bazı durumlarda iş ilişkisinin sona ermesinden üç yıl sonra) aşırı olduğunu tespit etti. DPA ayrıca denetleyicinin veri sahiplerine veri işleme hakkında yeterli bilgi sağlamadığını (örneğin e-posta verilerinin saklama süresiyle ilgili) tespit etti.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10053224

Yetki İspanyol Veri Koruma Otoritesi (aepd)

Şirket         Bireyleri ve Özel Dernekler

Özet İspanya Veri Koruma Kurumu, geçerli bir yasal dayanak olmaksızın video gözetim kamerası yerleştiren bir özel kişiye 2.000 avro para cezası verdi.

Doğrudan URLhttps://www.aepd.es/documento/ps-00362-2023.pdf

Yetki İspanyol Veri Koruma Otoritesi (aepd)

Sektör Atanmamış

Özet İspanyol Veri Koruma Ajansı, PLAY FUL KIDS, SL'ye, denetleyicinin tesislerinde misafirler ve çalışanların dahil olduğu bir çocuk doğum günü partisi sırasında meydana gelen bir olay nedeniyle 3.000 Avro para cezası verdi. Etkinlikten sonra, konuklar Google'da olumsuz yorumlar yayınladı. Buna karşılık, veri denetleyicisi, geçerli bir yasal dayanağı olmayan küçük misafirleri gösteren gözetim görüntülerini WhatsApp üzerinden paylaşarak misafirleri yorumlarını geri çekmeye zorladı.

https://www.aepd.es/documento/ps-00202-2023.pdf

Yetki Norveç Denetim Otoritesi (Datatilsynet)

Sektör Kamu Sektörü ve Eğitim

Özet Norveç Veri Koruma Ajansı, belediyenin veri ihlali bildirimi üzerine Grue belediyesine 20.800 avro para cezası verdi. Belediye, öğrencilere ait kişisel verilerin kamuya açık bir portalda hukuka aykırı olarak yayınlandığını bildirdi. Veri Koruma Ajansı, soruşturması sırasında belediyenin kişisel verilerin korunmasını sağlamak için yeterli teknik ve organizasyonel önlemleri almadığını tespit etti  .

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/overtredelsesgebyr-til-grue-kommune/

ABD Aralık

İhlal Raporu Sonuçları

Tümünü Genişlet	Kapsanan Kuruluşun Adı	Durum	Kapsanan Varlık Türü	Etkilenen Bireyler	İhlal Bildirim Tarihi	İhlal Türü	İhlal Edilen Bilgilerin Yeri
	CHCM, Inc. dba College Hospital Costa Mesa	O	Sağlık hizmeti sağlayıcısı	591	18.12.2024	Hacking/BT olayı	Ağ Sunucusu
	Ott Koni ve Redpath, PA	Kuzey Karolina	İş Ortağı	22171	18.12.2024	Hacking/BT olayı	E-posta
	PracticeSuite, Inc.	FL	İş Ortağı	13000	17/12/2024	Hacking/BT olayı	Diğer
	Kaliforniya Cezaevi Sağlık Bakım Hizmetleri	O	Sağlık hizmeti sağlayıcısı	1416	17/12/2024	Kayıp	Kağıt/Filmler
	Massachusetts Ruh Sağlığı Departmanı	VE	Sağlık hizmeti sağlayıcısı	959	16.12.2024	Kayıp	Diğer, Diğer Taşınabilir Elektronik Cihaz
	Brockton Mahalle Sağlık Merkezi	VE	Sağlık hizmeti sağlayıcısı	97488	13.12.2024	Hacking/BT olayı	Ağ Sunucusu
	Summit Tıbbi Grup, PLLC	Türkçe:	Sağlık hizmeti sağlayıcısı	611	13.12.2024	Hacking/BT olayı	E-posta
	Kuzeybatı Astım ve Alerji Merkezi	WA	Sağlık hizmeti sağlayıcısı	1000	12/12/2024	Hacking/BT olayı	E-posta
	ConnectOnCall.com, LLC	İLE İLGİLİ	İş Ortağı	914138	12/11/2024	Hacking/BT olayı	Ağ Sunucusu
	Nehir Bölgesi Kardiyolojisi	AL	Sağlık hizmeti sağlayıcısı	500000	12/11/2024	Hacking/BT olayı	Ağ Sunucusu
	Rumpke Consolidated Companies, Inc. ve Bağlı Şirketler Avantaj Planı	AH	Sağlık Planı	16946	12/10/2024	Hacking/BT olayı	Ağ Sunucusu
	UT Güneybatı Tıp Merkezi	Teksas	Sağlık hizmeti sağlayıcısı	43048	12/09/2024	Yetkisiz Erişim/Açıklama	E-posta
	Damar Restorasyonu Merkezi	Doktor	İş Ortağı	446094	12/05/2024	Hacking/BT olayı	Ağ Sunucusu
	Gaziler Sağlık İdaresi	DC	Sağlık hizmeti sağlayıcısı	2302	12/03/2024	Hacking/BT olayı	Ağ Sunucusu
	FC Pusula, LLC	Türkçe:	Sağlık hizmeti sağlayıcısı	2703	12/02/2024	Hacking/BT olayı	E-posta
	SAG-AFTRA Sağlık Planı	O	Sağlık Planı	35592	12/02/2024	Hacking/BT olayı	E-posta
	Atrium Sağlık	Kuzey Karolina	Sağlık hizmeti sağlayıcısı	585959	12/02/2024	Yetkisiz Erişim/Açıklama	Ağ Sunucusu

Singapur Kasım

HMI Sağlık Bilimleri Enstitüsü Tarafından Koruma Yükümlülüğünün İhlali

29 Kas 2024

Eski öğrencilerin kişisel verilerini korumak için makul güvenlik düzenlemeleri yapmadığı için HMI Sağlık Bilimleri Enstitüsüne 10.000 $ tutarında mali ceza verildi ve talimatlar verildi.  Daha fazla bilgi için buraya

tıklayın  .

Türkiye Kasım - Aralık

19 Aralık

Kamuoyuna Duyuru (Veri İhlali Bildirimi) – Karadeniz Holding A.Ş.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır.

Veri sorumlusu Karadeniz Holding AŞ tarafından Kurula sunulan kişisel veri ihlali bildiriminde özetle;

İhlalin bir siber saldırı sonucu meydana gelmiş olabileceği düşünülmekte olup, konu hakkında detaylı bilgi henüz belirlenemediğinden çalışma ve araştırmaların devam ettiği belirtilmektedir.

İhlalin başlangıç ​​ve bitiş tarihleri ​​belirsiz olup, ihlal 10.12.2024 tarihinde tespit edilmiş olup, ihlal ilgili tarihte yaşanan internet kesintisi sonrasında yapılan rutin güvenlik kontrolü sonucunda tespit edilmiştir,

İhlalden etkilenen kişisel veri kategorilerine ilişkin henüz bir belirleme yapılmadı,

İhlalden etkilenen kişi ve kayıt sayısının belirlenmesine yönelik çalışmalar devam ediyor ancak henüz bir karara varılamadı.

Konuya ilişkin soruşturma devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.12.2024 tarihli ve 2024/2193 sayılı kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

12 Aralık

Public Announcement (Data Breach Notification) – Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi (Özel Hisar Tıbbi Merkezi)

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır.

In the data breach notification submitted to the Board by Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi, which is the data controller, it is summarized as follows;

İhlal 22.11.2024-24.11.2024 tarihleri ​​arasında gerçekleşmiş olup 02.12.2024 tarihinde tespit edilmiştir.

İhlalin bir siber saldırı sonucu gerçekleştiği belirtilirken, konuya ilişkin detaylı bilgi bulunmuyor.

Veri sorumlusu şu anda ihlale konu veriye erişemiyor,

İhlalden etkilenen kişi ve kayıt sayısı henüz bilinmiyor.

İhlalden etkilenen ilgili kişi grupları çalışanlar ve hastalardır.

İhlalden sağlık bilgileri ve kimlik verileri etkilendi ancak konuya ilişkin detaylı bilgi bulunmuyor.

İlgili kişiler, veri sorumlusunun internet sitesi ve fiziki ofisleri aracılığıyla veri ihlali hakkında bilgi alabilirler.

Konuya ilişkin soruşturma devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 12.12.2024 tarihli ve 2024/2112 sayılı Kararı ile veri ihlali bildiriminin Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

Kamuoyuna saygıyla duyurulur.