Kişisel Verileri Koruma Kurulu 18/05/2021 tarihinde 4 (dört) yeni karar özetini internet sitesinde yayımlamıştır. Kurulun vermiş olduğu bu güncel kararlar kurumların KVKK politikalarının münferiden revize edilmesinde önem arz etmekte olup karar özetleri aşağıda bilginize sunulmuştur;
• 25/02/2021 tarih ve 2021/140 sayılı Karara konu şikayet; belediyelerin internet sayfaları üzerinden emlak vergisi veya beyan bilgisi sorgulama sırasında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasına ilişkindir. Kurul, bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan hükme aykırı olduğu değerlendirmesinden hareketle ilgili belediyelerin Kanuna aykırı uygulamalarının ortadan kaldırılması amacıyla Çevre ve Şehircilik Bakanlığı ile Türkiye Belediyeler Birliğine bilgi verilmesine, ilgili sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde T.C. Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ile gerekli idari ve teknik tedbirlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.
Kararın tamamına şu linkten ulaşabilirsiniz:
https://kvkk.gov.tr/Icerik/6965/2021-140
• 13/04/2021 tarihli ve 2021/359 sayılı Karara konu şikayet; site yönetiminden sorumlu şirketin ilgili kişinin telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaşması ve bunun üzerine mobil uygulamadan ilgili kişiye bilgi mesajı gönderilmesine ilişkindir. Yönetim hizmeti veren şirket ve veri sahibine mesaj gönderimi sağlayan ve uygulama hizmeti sunan şirketten alınan savunmalar kapsamında; Yönetim hizmeti sağlayan şirketin ilgili kişinin kişisel verilerini uygulama hizmeti veren şirket ile paylaşmadığını iddia etse de, alınan cevap yazısı kapsamında taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğuna kanaat getirmiştir.
• Kurul, kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varmış olup, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Kararın tamamına şu linkten ulaşabilirsiniz:
https://kvkk.gov.tr/Icerik/6966/2021-359
• 20/04/2020 tarihli ve 2021/389 sayılı Karara konu şikayet; bir sigorta şirketinin internet sitesine giriş yapmak ve poliçe bilgilerine erişebilmek için internet sitesinde sunulan onay kutucuğu ile veri sahibinin kişisel verilerin işlenmesine rıza göstermek zorunda bırakılmasına ilişkindir. Kurul, aydınlatma metninin mevzuata uygunluğuna ilişkin olarak; sigorta şirketinin aydınlatma metninde veri aktarımının hangi mevzuat kapsamında gerçekleştirildiğine ilişkin ifadelerinin muğlak olduğunu, aydınlatma yükümlülüğü ile açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmesine rağmen tek bir kutucuğun işaretlenmesi ile ilgili kişinin hem aydınlatma metnine hem kişisel verilerinin işlenmesine onay verdiği tespitinde bulunmuştur. Ayrıca, açık rızanın hizmet şartına bağlanıp bağlanmadığına ilişkin olarak; ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı, dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını iç içe geçmiş ve belirsiz bir biçimde kullandığının görüldüğü, kişisel veri işleme faaliyeti, Kanun’da yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı değerlendirmelerinden hareketle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına karar vermiştir.
Kararın tamamına aşağıdaki linkten ulaşabilirsiniz:
https://kvkk.gov.tr/Icerik/6967/2021-389
• 20/04/2021 tarih ve 2021/407 sayılı Karara konu veri ihlali; bir hastanede çalışan hekimin hastalarına ait kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin yer aldığı hasta dosyalarının kendisinin talimatıyla ve bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleşen ihlale ilişkindir.
• Kurul, hastane kamera kayıtlarının kontrolünün sağlanmadığı, hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girebildiği ve başhekimliğin izni olmadan hastalara ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların arşivden çıkartılabildiği hususlarının veri güvenliğinin sağlanmasını temin etmeye yönelik fiziksel ortamların güvenliğini sağlayacak idari tedbirlerin yeterli ölçüde alınmadığı kanaatine varmıştır. Ayrıca 789 hastanın etkilendiği işbu ihlale ilişkin ihlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu gerekçeleriyle teknik ve idari tedbirlere ilişkin olarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına; ihlalin kuruma geç bildirimine ilişkin olarak da Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına karar vermiştir. Kurul aynı zamanda veri sorumlusunun ilgili kişilere Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri de içeren bir bildirim yapılarak sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Kararın tamamına aşağıdaki linkten ulaşabilirsiniz;
https://kvkk.gov.tr/Icerik/6968/2021-407
Comments