PAYLAŞ
KAYDIR

BLOG

KİŞİSEL VERİLERİ KORUMA KURULUNUN BAZI KARARLARI

  • 47 Görüntüleme

 

 

Kişisel Verileri Koruma Kurulu’nun verdiği kararların takibi Kanun’un yalnızca belli bir kesimi değil kamusal hayatın içindeki herkesi ilgilendirdiğini anlamak açısından önemli.

 

Kanun’un ihlal edildiği düşünülen noktada Koruma Kurulunun  verdiği para cezaları son derece yüklü cezalar. Bu cezaların muhatabı olmamak adına son dönem kurul kararlarına göz atalım:

 

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

 

Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,

 

Karar verilmiştir.

Bünyesinde tuttuğu verilen 3. Kişiler tarafından çalınan bir firma hakkında ise,

Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği

hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,

dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL

olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

Yine aynı şekilde bir başka veri sızıntısı bildiriminde ise tam aksine yükümlülüklerin yerine getirildiği görüldüğünden cezaya yer verilmemiştir.

 Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/787 sayılı Kararı ile;

  • İhlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmayıp yaygın kullanılan bir uygulamadan kaynaklandığı; bu duruma veri sorumlusunun müdahale edemeyeceği,
  • Veri sorumlusunun ihlali kısa zamanda fark etmiş olduğu,
  • İhlalden etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği,
  • Veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirttiği,
  • İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu,
  • Veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu

hususları dikkate alındığında, söz konusu ihlale ilişkin ilgili kişilere bildirim yapıldığını tevsik edici belgelerin Kuruma gönderilmesi suretiyle söz konusu veri ihlal bildirimi ile ilgili olarak Kanunun 12 nci maddesi kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiştir.

 

Dolayısı ile ceza verilen ve verilmeyen durumlar incelendiğinde Kanun’un gerektirdiği yükümlülüklere uymaya özen gösterilmesi gerektiği açıktır.

 

 

 

01.
Copyright © 2020. Tüm Hakları Saklıdır. Kopyalanması, çoğaltılması ve dağıtılması durumunda yasal haklarımız kullanılacaktır.
ÜSTE ÇIK