KVKK duyurdu! Adidas’ın Türkiye’deki veri sızıntısında hangi bilgiler açığa çıktı?

Kişisel Verileri Koruma Kurumu (KVKK), Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.'nin Türkiye'deki müşterilerini de etkileyen veri ihlaliyle ilgili bilgileri paylaştı. 17 Mayıs 2025 tarihinde Adidas tarafından yapılan bildirimde, olayın bir Adidas çalışanının, müşteri verilerine erişildiğini belirten üçüncü şahıstan gelen bir e-postayı Siber Güvenlik Olaylarına Müdahale Ekibine iletmesiyle ortaya çıktığı belirtildi. İnceleme sonucunda, e-postaya ekli dosyanın büyük ihtimalle Adidas’a ait müşteri verilerini içerdiği ve bu veriler arasında Türkiye'deki kullanıcıların da yer aldığı tespit edildi. Saldırının kaynağı ve yöntemiyle ilgili soruşturma ise devam ediyor.

KVKK açıklaması şu şekilde:

"Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12 nci maddesinin (5) numaralı fıkrası "İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi web sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir." hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafınca Kurula iletilen veri ihlali bildiriminde özetle;

- Veri sorumlusunun, Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik vakası hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edilmiş olduğu,

- İhlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Ekibine iletmesinin peşinden ortaya çıktığı,

- Bu e-postada üçüncü tarafın, Adidas müşteri verilerine sahip olduğunu iddia ettiği, Adidas tarafınca yapılan inceleme sonucunda üçüncü şahıs tarafınca paylaşılan dosyanın büyük olasılıkla Adidas müşteri verilerini içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafınca doğrulandığı,

- İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği,

- İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu,

- İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için tüm veri tiplerinin etkilenmediği
bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.05.2025 tarih ve 2025/930 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun web sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur."