Kişisel Verileri Koruma Kurumunun internet sayfasında 23.06.2020 tarihinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bazı kararlarının özetleri yayımlanmıştır. Özetlere buradan ulaşabilirsiniz.
İlgili karar özetlerinin incelenmesi sonucunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) uygulanmasına ilişkin olarak, Kurulun aşağıdaki ilkeleri benimsediği anlaşılmaktadır.
03.03.2020 tarihli ve 2020/191, 2020/192, 2020/193 ve 2020/194 sayılı kararlar / Risk merkezindeki[1] kişisel verilere muhtelif faktoring şirketleri çalışanları tarafından Bankacılık Kanunu’nda belirtilen amaçlar ile sınırlı kalmaksızın erişilmesi ve bazı verilerin yetkisiz üçüncü kişilere aktarılması hakkında:
Kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiği tespit edilmelidir. Söz konusu tespit, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacaktır.
Kişisel veriler, ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecektir. Kişisel verilerin işlenmesinde her hal ve şartta, KVKK madde 4’te sayılan genel ilkelere uyulması hukuki bir gereklilik olarak kabul edilmektedir.
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.
Veri sorumlusu, işlediği kişisel verilerin kanuni olmayan yollarla başkası tarafından elde edildiğini tespit etmesi halinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirecektir. “En kısa süre” ibaresinden, 4.01.2019 tarih ve 2019/10 sayılı Kurul kararı gereği, “veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat” anlaşılmalıdır.
İhlali gerçekleştiren dört faktoring şirketine, KVKK madde 12 (veri güvenliğine ilişkin yükümlülükler) fıkra 1 (kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak) aykırılık sebebiyle 950.000 TL ve fıkra 5’e (veri ihlalinin en kısa sürede Kurula bildirilmesi) aykırılık sebebiyle 450.000 TL idari para cezası uygulanmasına karar verilmiştir.
16.04.2020 tarihli ve 2020/286 sayılı karar / Oyun şirketinin oyuncu verilerine hackerlar tarafından (şirketin bulut sistemlerine, belirli olmayan kaynaklardan temin ettikleri kimlik bilgileri kullanarak) erişilmesi:
Veri sorumlusu, işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri olası bir ihlalden önce almalıdır. Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin, ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin zamanında alınmadığının göstergesidir.
Kurul tarafından KVKK madde 12 (veri güvenliğine ilişkin yükümlülükler) fıkra 1 (kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak) aykırılık sebebiyle 1.000.000 TL ve fıkra 5’e (veri ihlalinin en kısa sürede Kurul’a bildirilmesi) aykırılık sebebiyle 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
05.05.2020 tarihli ve 2020/344 sayılı karar / Bir bankanın çalışanlarının KKB (Kredi Kayıt Bürosu) sorgulama yetkilerini amacı dışında kullanarak kişisel verilere erişmesi:
Çalışanların ihlal fiillerinin başlangıcı tarihi ile tespit tarihleri arasında uzun süre (banka şubelerinden birinde 1 yıl, diğerinde 18 ay) olması, veri sorumlusunun, kişisel veri güvenliği takibi noktasında düzenli kontrol gerçekleştirmediğinin göstergesidir.
Veri sorumlusu nezdinde çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları önceden belirlenmeli, çalışanların bu kapsamda bilinçlendirilmesi gerekmektedir.
Kurul tarafından KVKK madde 12 (veri güvenliğine ilişkin yükümlülükler) fıkra 1’e (kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak) aykırılık sebebiyle 1.000.000 TL idari para cezası uygulanmasına karar verilmiştir.
[1] 5411 sayılı Bankacılık Kanunu’nun ek 1. maddesi: “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.”