Bilgilendirme:

KİŞİSEL VERİLERİ KORUMA KURUMU’NDAN VERİ SORUMLUSUNA 200,000 TL İDARİ PARA CEZASI

KİŞİSEL VERİLERİ KORUMA KURUMU’NDAN VERİ SORUMLUSUNA 200,000 TL İDARİ PARA CEZASI

Kişisel Verileri Koruma Kurumu’nun (“KVK Kurumu”) yetkili karar organı olan Kişisel Verileri Koruma Kurulu (“KVK Kurulu”), geçtiğimiz günlerde internet sitesinde veri sorumlularının Kişisel Verilerin Korunması Kanunu’na (“KVK Kanunu”) aykırı davranışları sebebiyle vermiş olduğu kararlardan bir kısmını yayınladı.

KVK Kurulu daha önce de internet sitesinde karar özetleri yayınlamaktaydı fakat yayımlanan son kararlar, KVK Kurulu’nun eskiye nazaran daha agresif bir duruş sergilediğine işaret etmekte. KVK Kurulu, bu bağlamdaki kararlarından birinde, veri sorumlusunun işe alım sürecinde işe başvuran ilgili kişinin kişisel verilerini diğer işe başvuranlarla paylaşması sebebiyle toplam 200.000 TL idari para cezası uygulanmasına karar vermiştir. Biz de bu yazımızda veri sorumluları bakımından önem arz eden bu kararın ve KVK Kurulu’nun yayımlamış olduğu diğer kararların özetlerini sizler için derledik [1].

İş Başvurusu Sürecinde Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi

İşe Başvuranın Kişisel Verisinin Diğer İşe Başvuranlarla Paylaşılması

Çevrimiçi insan kaynakları hizmeti sunan bir şirketin iş başvuru sürecinde işe başvuran kişiye ait başvuru bilgisi ile ad, soyadı ve e-posta adresi bilgileri şirketçe diğer işe başvuranlarla paylaşılmıştır. KVK Kurulu, bu paylaşımın herhangi bir hukuki dayanağının bulunmadığını tespit etmiş, bu durumun veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerine aykırı olduğuna karar vererek veri sorumlusu hakkında 100,000 TL idari para cezasına hükmetmiştir.

İşe Başvuranın Kişisel Verilerinin Grup Şirketleri Dâhilinde Aktarımı

KVK Kurulu, bir şirketler topluluğu altında yer alan farklı grup şirketleri arasındaki veri aktarımlarının üçüncü kişiye veri aktarımı yapılması anlamına geldiğini ve bu sebeple bu tür veri aktarımlarının açık rıza veya diğer işleme şartlarına tabi olduğunu belirtmiştir. KVK Kurulu bu doğrultuda, iş başvurusu bilgilerinin grup şirketlerince ortak kullanılan bir veri tabanına yüklenmesinin de bir veri aktarımı teşkil ettiğine işaret etmiştir. Bu veri aktarımı bakımından açık rıza veya diğer işleme temellerinden birini tespit edemeyen KVK Kurulu, veri sorumlusu şirket hakkında 25,000 TL idari para cezasına hükmetmiştir.

Açık Rıza Metninde Belirsiz İfadelerin Kullanılması

KVK Kurulu, şirket tarafından internet sitesinde profil oluşturma işleminden önce ilgili kişilere onaylatılan açık rıza metninde genel nitelikte, belirsiz ve içerikleri sonradan doldurulabilecek ifadelere yer verildiğini tespit etmiştir. Bu çerçevede veri işleme faaliyetinin hukuka ve dürüstlük kuralına uygun olma ilkesine aykırı olduğuna karar verip veri sorumlusu hakkında 50,000 TL idari para cezasına hükmetmiştir [2].

Aydınlatma Metni ve Şeffaflık

Son olarak KVK Kurulu, internet sitesinde profil oluşturulması suretiyle ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinde kişilerin usulüne uygun olarak aydınlatılmadığını tespit etmiştir. Her ne kadar veri işleme esnasında veri sorumlusunun internet sitesinde genel bir aydınlatma metni yer alsa da, KVK Kurulu veri işlenmesi sırasında herhangi bir aydınlatma metnine yönlendirme yapılmadığını ifade etmiştir. Kurul ayrıca, aydınlatma metninde kişisel verilerin hangi amaçla işleneceğine ilişkin ifadelerin açık ve belirsiz olduğunu vurgulamıştır. Bu nedenle veri sorumlusunun aydınlatma yükümlülüğünü usulüne uygun yerine getirmediğine karar verilip 25,000 TL idari para cezasına hükmedilmiştir [2].

Diğer İdari Yaptırımlar

Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

KVK Kurulu, bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususunu da dikkate alarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğuna işaret etmiş, bu hususun KVK Kanunu’ndaki istisnalar kapsamında olduğunu belirtip söz konusu köşe yazısının silinmesine yönelik talebe ilişkin olarak KVK Kurulu’nca yapılacak herhangi bir işlem bulunmadığına karar vermiştir.

Özel Nitelikli Kişisel Verilerin İnternette Paylaşılması

KVK Kurulu, özel nitelikli kişisel veri niteliğinde olan sağlık raporunun, hastaların tedavi sürecinde yer alan hekimler tarafından hastanenin mobil uygulamasından alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması olayında hastanenin, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemediğine karar verip idari para cezası uygulamıştır.

Kişisel Veri İhlalinin Geç Bildirilmesi

KVK Kurulu, veri sorumlusunun, işlemekte olduğu kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi olayında veri güvenliği ihlalini ilgili kişilere 17 ay, KVK Kurulu’na ise 10 aylık gecikmeyle bildirmesinin KVK Kanunu’nda belirtilen “en kısa süre”yi aşan bir süre olduğunu belirtmiş ve bu durumu veri güvenliği ihlali olarak değerlendirerek veri sorumlusu hakkında idari yaptırım uygulanmasına karar vermiştir.

Başka İşleme Temeli Varken Açık Rıza Alınması

Veri sorumlusunun zaten yasal bir işleme temeli olan sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatması durumunda KVK Kurulu, diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi, dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceğini ve hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağını belirterek, bu durumun hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiğinden, veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediğine karar verip idari yaptırım uygulanmasına karar vermiştir.

Amacın Gerektirdiğinden Fazla Kişisel Veri Aktarılması

Bir spor salonu ile müşterisi arasında görülmekte olan davada, mahkemece müşterinin bankasından ödeme bilgisi talep edilmesi, bankanın ise müşterinin son altı aylık ekstresini mahkemeye göndermesi durumunda KVK Kurulu, bu veri aktarımının hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceğini ve veri işlemenin, işleme, amacıyla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiğini belirterek bankanın kişisel verilerin güvenliğini sağlayamadığına karar verip 30.000 TL idari para cezası uygulanmasına karar vermiştir.

İlgili Kişiye KVK Kanunu’nda Belirlenen Süre İçerisinde Cevap Verilmemesi

KVK Kurulu, ilgili kişinin veri sorumlusuna kanuni hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi olayında veri sorumlusunun, kararın tebliğinden itibaren 30 gün içerisinde ilgili kişiye cevap vermesi talimatının verilmesine ve aksi takdirde veri sorumlusu hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun uyarılmasına karar vermiştir.

Müşterinin Kişisel Verisinin Silinmesi Talebini Reddetme

Bir veri sorumlusu, müşterisinin kişisel verilerinin silinmesi talebini tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğunu ileri sürerek yerine getirmemiştir. KVK Kurulu herhangi bir idari para cezasına hükmetmemiş fakat veri sorumlusuna aktif olmayan müşterilerinin verilerini depolama amacı dışında başka bir amaçla işlememesi hususunda talimat vermiştir.

Veri Güvenliğinin Sağlanması Amacıyla Gerekli Tedbirlerin Alınmaması

KVK Kurulu, veri sorumlusu tarafından müşterisinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin, veri sorumlusu açısından sistemsel bir açığa işaret ettiğini belirterek veri sorumlusunun veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almadığına ve hakkında idari yaptırım uygulanmasına karar vermiştir.

Buna benzer bir idari yaptırım, müşterinin bir talebi olmamasına rağmen kişisel verilerinin veri sorumlusunun çalışanı tarafından kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulanması durumunda uygulanmıştır.

Genel İlkelere Aykırı Davranılması

Bir veri sorumlusunun müşterisi ile arasındaki işlemde, müşterisinden işlemin gerektirmediği kişisel verileri içeren bir belgeyi istemiştir. Bunun üzerine KVK Kurulu, veri sorumlusunun talebinin ilgili mevzuatta yer almaması ve ulaşılmak istenen amaç ile bağdaşmaması nedeniyle, bu talebin veri minimizasyonu ilkesine aykırı olduğuna karar vermiştir. Bu sebeple veri sorumlusunun kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına ve hakkında idari yaptırım uygulanmasına karar vermiştir.

KVK Kanunu’na Aykırı Şekilde Kişisel Verilerin Paylaşılması

KVK Kurulu, veri sorumlusunun bir şirketin çalışanlarına e-posta yoluyla gönderdiği sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken yasal işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin ev adresinin yazılması nedeniyle veri sorumlusunun veri güvenliğini sağlayamadığına ve hakkında idari yaptırım uygulanmasına karar vermiştir.

Sonuç

Veri koruma mevzuatındaki son gelişmeler ve yukarıda özetlediğimiz idari yaptırımlar KVK Kurulu’nun, KVK Kanunu’nu bütün hükümleriyle uygulamaya alma isteğini açıkça ortaya koymakta ve mevzuata uyumun artmakta olan önemini gözler önüne sermektedir. Bu yüzden müvekkillerimize en kısa sürede uyum projeleri başlatmalarını ve veri korumayla alakalı meselelere etkili bir şekilde karşılık verebilecekleri bir uyum programı kurmalarını tavsiye ederiz.

[1] Bu yazıda zikredilen idari para cezası miktarları KVK Kurulu’nun kendisi tarafından yayımlanmamış, internetteki diğer kaynaklar aracılığıyla bu miktarlara ulaşılmıştır.

[2] Bu idari yaptırımlar KVK Kurulu’nca yayımlanmamış, internetteki diğer kaynaklardan bu yaptırımlara ulaşılmıştır.

ETİKETLER

finans, gayrimenkul, yatırım, ticaret, bilgi teknolojileri, e-ticaret, enerji, icra kabiliyeti, dava, veri koruma, şahsi kefalet, şirketler, yönetmelik, esas sözleşme, bağımsız denetim

SON YAZILAR

Bilgileriniz kaydedilmiştir. Teşekkürler.