Kişisel Verileri Koruma Kurulu’nun, İhlallere İlişkin Son Almış Olduğu Karar Özetlerini Web Sitesi Üzerinden Yayınladı.

Kişisel Verileri Koruma Kurumu (“KVKK”/“Kurul”), kişisel verilerin amacı dışında kullanım tespitlerinde, ceza uygulamalarına devam ediyor. 2017’den Ekim 2019’a kadar kurula 129 veri ihlal bildirimi yapılırken bu ihlallerden yaklaşık 3 milyon kişinin etkilendiği belirtildi. Son olarak bir banka, hava yolu, operatör ve eğitim kurumunun yapmış olduğu veri ihlali karar özetleri kurulun resmi internet sitesi www.kvkk.org.tr ‘de 6 Kasım 2019’da tarihinde yayınlandı.

Kurulun ilgili karar özetlerini ve yorumlarını aşağıda detaylı olarak derledik.

“Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/277 Sayılı Karar Özeti.

Karara konu olayda bir banka çalışanı, müşterisini arayarak eşinin müdürü olduğu Şirket ile ilgili bir konuda eşine ulaşamadığını, bu konuda kendisine yardımcı olmasını talep ettiğini belirtmiştir. Banka müşterisi olan söz konusu başvuru sahibi kişi de Bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hakkında bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir cevap vermediği iddiasıyla kuruma başvuruda bulunmuştur. Bankanın ise Şikâyetçinin e-posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gittiği tespit edilmiştir.

KVKK yapmış olduğu inceleme ve değerlendirme sonucunda Bankanın vermiş olduğu ilgili cevabı açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşmıştır. Ek olarak KVKK tarafından, müşterinin telefonunun kendisine ait iş ve işlemler dışında kişinin eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 12 nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında Kişisel Verileri Koruma Kurulunun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti.

Havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişi Kuruma başvuru yaparak şikayetçi olmuştur.

KVKK yapmış olduğu incelemede, öncelikle kişinin kimlik görüntüsünde yer alan bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğunu ve açık rıza alınması gerektiğini  belirtmiştir. Kurumca ilgili işlemin verilerin işlenme şartlarına uygun olmadığından dolayı başta açık ve meşru amaçlar için işlenme ilkesi olmak üzere hukuka uygunluk ilkelerine aykırı olduğun belirlenmiş, kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı ve bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunulduğu tespit edilmiştir.

KVKK, konuya ilişkin şikayet edilen kuruma çeşitli talimatlarının yanında bir  de Kanunun 12 inci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediğini değerlendirdiği Veri Sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

“Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/296 Sayılı Karar Özeti.

Operatör şirketi, kendisine yapılan başvuruyu Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak, noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden, bahisle kimlik teyidi yapılamadığı gerekçesiyle reddetmiştir.

KVKK başvurucunun şikayeti üzerine yapmış olduğu inceleme sonucunda kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin  Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (“Tebliğ”) 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına ve İlgili kişiye ise Kanun’un 11’inci maddesi kapsamında ilgili kişinin hakları ile Tebliğ’in ilgili maddelerinin hatırlatılmasına karar vermiştir.

·Sevinç Eğitim Kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesi” hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 Tarihli ve 2019/276 sayılı Karar Özeti.

Şikayetçinin Sevinç Eğitim Kurumlarının cep telefonuna reklam amaçlı kısa mesaj göndermesinin ardından yaptığı şikayet üzerine, Sevinç Eğitim Kurumları nezdinde yapılan yerinde inceleme esnasında istenilen ve 05.08.2019 tarihine kadar Kuruma gönderilmesi tebliğ edilen bilgi ve belgelerin eğitim kurumu tarafından Kuruma iletilmediği de dikkate alınarak, ilgili eğitim kurumu tarafından Şikayetçinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle anılan eğitim kurumunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması sebebiyle, Sevinç Eğitim Kurumları hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü gereğince 50.000 TL idari para cezası uygulanmasına KVKK tarafından karar verilmiştir.