Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz AES Otelcilik Turizm ve Tic. AŞ tarafından Kurula iletilen veri ihlal bildiriminde özetle;

• Veri sorumlusunun 28.10.2022 tarihinde siber saldırıya maruz kalması sonucu sunucudaki muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği,
• İhlalin veri sorumlusu bünyesindeki yazılımların çalışmaması üzerine yapılan inceleme sonucunda aynı gün tespit edildiği,
• İhlalden etkilenen ilgili kişi sayısının henüz tespit edilemediği,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkumiyeti ve güvenlik tedbirleri olduğu,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçiler olduğu,
• İhlalden etkilenen ilgili kişilerin ihlal ile ilgili bilgiyi “aes.otelcilik@hs03.kep.tr” KEP adresi veya “a.akpinar@metropolitanhotels.com.tr” e-posta adresi veya 0312 295 45 45 numaralı telefondan alabileceği

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 01.11.2022 tarih ve 2022/1195 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.