Bir Şirket, Çalışan Başvurularının Tüm Verilerini Sızdırdı

İlaç ve sağlık odaklı şirket AstraZeneca, geçtiğimiz günlerde çalışan başvurularını açmasıyla birlikte bir dizi veri sızıntısının kurbanı oldu. İşte detaylar!

Bir Şirket, Çalışan Başvurularının Tüm Verilerini Sızdırdı

İlaç ve sağlık odaklı AstraZeneca geçtiğimiz haftalarda çalışan başvurularını açmış, yeni iş arkadaşları arıyordu. Web sitesinin kaynak kodlarından kaynaklı bir problem, belli tarihler arasındaki başvuru gerçekleştiren kişilerin tüm verilerinin erişilebilir olmasına ve sızdırılmasına neden oldu.

Şirketin durumun farkına varması, Kişisel Verileri Koruma Kurumunun olaya hızla el atmasını sağladı. Bir süredir sağlanan incelemeler sonucunda kaç başvuru verisinin sızdırıldığı ve bu sızıntıların hangi tarihler arasında gerçekleştiği ortaya çıkmış oldu.

Bir Şirket, Çalışan Başvurularının Tüm Verilerini Sızdırdı

AstraZeneca 1.000'e Yakın Başvuru Bilgilerini Sızdırdı

"İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir." kanunundan hareketle AstraZeneca doğrudan yetkili kurumla iletişime geçti ve sürecin beraber yürütülmesini sağladı.

Kişisel Verileri Koruma Kurumunun yapmış olduğu açıklama ise şu şekilde:

"Veri sorumlusu sıfatını haiz AstraZeneca İlaç Sanayi ve Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;

  • Çalışan adaylarının, “AstraZeneca”daki açık pozisyonlara başvurabilmelerini sağlayan, veri işleyen (Workday Limited) sisteminde ihlal gerçekleştiği,
  • Bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ilişkin verileri izlemek adına bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, değişkenin değerinin, harici kariyer sitesi için HTML kaynağını inceleyen, örneğin tarayıcının "Kaynağı Görüntüle" özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği,
  • Bahse konu durumdan dolayı, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 arasında ve/veya 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 arasında iş başvurusu yapan çalışan adaylarının kişisel verilerinin kısa süreliğine erişilebilir hale geldiği,
  • İhlalin 31 Temmuz 2022 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi grubunun çalışan adayları olduğu,
  • İhlalden tahmini 981 kişinin etkilendiği,
  • İhlalden etkilenen kişisel verilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut veya önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları olduğunun tahmin edildiği, buna ek olarak, çalışan adaylarının veri işleyen sistemi üzerinden gönüllü olarak da kişisel URL, iş deneyimi, eğitim, dil, yetenekler ve özgeçmiş verilerini sağlayabildiği

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 11.08.2022 tarih ve 2022/831 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur."

YORUMLAR