Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Bilfen Eğitim Kurumları A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;

• İhlalin; veri sorumlusunun kullandığı sistemde URL üzerinden sehven erişime açık bırakılan XML dosyalarının saldırganlar tarafından ele geçirilmesiyle gerçekleştiği,
• İhlalin 12.03.2025 tarihinde başladığı ve aynı tarihte veri sorumlusunun Whatsapp hattına siber saldırgan/saldırganlar tarafından gönderilen bir mesaj ile tespit edildiği,
• İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, işlem güvenliği, mesleki deneyim, görsel ve işitsel kayıtlar ile birlikte özel nitelikli kişisel verilerden sağlık bilgileri olduğu,
• İhlalden etkilenen kişi sayısının 24.061 kişi olduğu,
• İhlalden etkilenen ilgili kişilerin; öğrenciler, öğrenci velileri ve çalışanlar olduğu,
• İlgili kişilerin, veri sorumlusuna ait https://bilfen.com/tr internet sitesi vasıtasıyla veri ihlaline ilişkin duyurulara ulaşabilecek ve ayrıca detaylı bilgi için kvkk@bilfen.com e-posta hesabı vasıtasıyla veri ihlali hakkında bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 20.03.2025 tarih ve 2025/573 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.