Avon Kozmetik Ürünleri Sanayi ve Ticaret A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Avon Kozmetik Ürünleri Sanayi ve Ticaret A.Ş (Avon Türkiye) tarafından Kurumumuza gönderilen yazıda özetle;
- Avon Türkiye’nin bağlı olduğu İngiltere’de yerleşik Avon Cosmetics Limited’e (Avon Global) 7 Haziran 2020 tarihinde fidye yazılımı saldırısının gerçekleştiği,
- Saldırının bazı sistemlerin kesintiye uğramasına ve Türkiye’de dahil Avon'un uluslararası operasyonlarında belirli verilerin şifrelenmesine neden olduğu, etkilenen sistemlerdeki belirli verilerin tehdit aktörü tarafından kopyalanmış olması ve bu verilerin kişisel veriler içermesi ihtimalinin bulunduğu,
- Avon Türkiye’nin bağlı bulunduğu İngiltere’de yerleşik Avon Global ile aynı yazılımları kullandığı,
- Etkilenen kişisel veri kategorisi belirleme çalışmalarının devam ettiği,
- Etkilenen kişi sayısı ve kişilere ait kayıt sayısını belirleme çalışmalarının devam ettiği,
- Avon Türkiye’nin ağırlıklı olarak çalışanların ve Avon ürünlerini doğrudan satış yolu ile tüketicilere tali satıcılığını yapmakta olan Avon temsilcilerinin verilerine sahip olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/487 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.