Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

ANIMOTO Inc. (Animoto) unvanlı şirket adına Kurumumuza gönderilen 15.01.2019 tarihli yazıda;

• Animoto’nun 10 Temmuz 2018 tarihinde sunucularında alışılmışın dışında ağ trafiği farkettiği,
• 6 Ağustos 2018 tarihinde Animoto’nun veri ihlali yaşanmış olabileceği ihtimalini tespit ettiği,
• Veri ihlalinden dünya çapında 22 milyon kişinin etkilenmiş olabileceği,
• Türkiye’de veya başka bir şekilde coğrafi olarak Türkiye içinde konumlandırılmış yaklaşık 90.000 kişinin veri ihlalinden etkilenmiş olabileceği,
• Animoto’nun, Türkiye’de tam fatura adresi bilgisine sahip olduğu yaklaşık 1.500 abonesinin bulunduğu,
• Veri ihlalinden etkilenmiş olabilecek verilerin müşterinin adı soyadı, kullanıcı adı (e-posta adresi), özetlenmiş (hashed) ve tuzlanmış (salted) şifreler, yüksek seviye coğrafi konum bilgisi (şehir ve ülkeye denk gelecek şekilde), cinsiyet ve doğum tarihi olduğu,
• Saldırganların şifre tuzuna (salt) erişmiş olabileceği,
• Türkiye’de yerleşik Animoto kullanıcılarının kişisel verilerinin ele geçirildiğine ilişkin kesin bir tespitin yapılmadığı,
• Yetkisiz veri sızıntısını gösteren kesin bir delil olmadığı,

bilgilerine yer verilmiştir.

Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/13 sayılı Kararı ile ANIMOTO Inc. nezdinde gerçekleşen söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.