Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz TCO Turkey Mücevherat Ticareti Limited Şirketi tarafından Kurula iletilen veri ihlali bildiriminde özetle;

• İhlalin veri sorumlusunun ABD merkezli bağlı şirketi Tiffany and Company şirketinin bazı sistemlerine yetkisiz bir üçüncü tarafça erişim sağlanmasıyla gerçekleştiği,
• İhlalin 12.05.2025-16.05.2025 tarihleri arasında gerçekleştiği ve 04.06.2025 tarihinde tespit edildiği,
• İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve müşterileri olduğu,
• İhlalden etkilenen kişi ve kayıt sayısının belirlenmesi için veri sorumlusu tarafından çalışmaların sürdürüldüğü,
• İhlalden etkilenen kişisel verilerin ad, iletişim bilgileri, unvan, yönetici bilgileri, kullanıcı adları ve karma şifreler dahil olmak üzere çalışan ve danışman şirket dizini verilerini içerdiğinin belirlendiği, ayrıca devam eden soruşturmaya dayanılarak; etkilenen kişisel verilerin müşteri adları, iletişim bilgileri, yaş, satış verileri ve cinsiyet bilgilerini de içerme ihtimalinin bulunduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.06.2025 tarih ve 2025/1080 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.