Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Nevşehir Hacı Bektaş Veli Üniversitesi tarafından Kurula iletilen veri ihlal bildiriminde özetle;

• Veri sorumlusunun; İzmir Kâtip Çelebi Üniversitesi (İKÇÜ) tarafından geliştirilen Üniversite Bilgi Yönetim Sistemini (ÜBYS) kullandığı ve PingPong Üniversite Rehberi adlı mobil uygulamanın, İKÇÜ tarafından sağlanan web servisleri aracılığıyla veri sorumlusunun personel ve öğrencilerinin kişisel verilerine eriştiğinin tespit edildiği,
• Tesadüfen bir öğrencinin kişisel verilerine başka bir mobil uygulamadan erişebildiğini ifade etmesi üzerine durumun farkına vardıklarını, mobil uygulamaya sahip firmanın verileri İzmir Katip Çelebi Üniversitesi (İKÇÜ) üzerinden elde ettiğinin tespit edildiği,
• İKÇÜ ile durum hakkında bilgi vermesi için yazışmalar gerçekleştirdiklerini, verilerin İKÇÜ'nün veri sorumlusundan izinsiz paylaştığını tespit edildiği, paylaşım yapılan firmanın kullanıcı sözleşmesi incelendiğinde ise verilerin saklandığı ve işlendiğinin değerlendirildiği,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve öğrenciler olduğu,
• İhlalden etkilenen kişi sayısının tam olarak bilinmediği ancak web serviste kayıtlı 22.960 aktif öğrenci ve personelin bulunduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.03.2025 tarih ve 2025/634 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.