Konu ile ilgili olarak KVKK'dan şu açıklama yapıldı:
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Avivasa Emeklilik ve Hayat A.Ş. (Avivasa) tarafından Kurumumuza gönderilen yazı ve ekinde özetle;
Bir e-posta kullanıcısı tarafından 12 Haziran 2020 tarihinde Avivasa’ya iletilen ihbar sonucu inceleme çalışmalarının başlatıldığı, iletilen ihbarda bir internet sitesi üzerinden Avivasa’ya ait kişisel verilerin para karşılığında satıldığı iddiasının yer aldığı,
İhlalden etkilenen kişisel veri kategorilerine yönelik ihbarda bilgi bulunmadığı,
İhlalden etkilenen kişi ve kayıt sayısının bilinmediği,
Konunun aynı zamanda adli makamlara da iletildiği,
İlgili Sulh Ceza Hakimliğinin söz konusu internet sayfasına yönelik erişim engelleme Kararının bulunduğu
bilgilerine yer verilmiş olup, yazı ekinde yer alan ilgili erişim engelleme Kararında “…erişimin engellenmesi talebine konu olan içerik incelendiğinde, içerikte talepte bulunan şirketin müşterilerine ait olduğu değerlendirilen müşterilerin yaşadıkları şehir, yaş ve cep telefonu numarası gibi kişisel nitelikteki bir kısım verilerin liste halinde siteye konulduğu…” tespitlerinin yer aldığı anlaşılmıştır.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/486 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.