Yeni Gelişme
Kişisel Verileri Koruma Kurulu’nun (“Kurul“), uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili 6 Şubat 2020 tarihli ve 2020/86 sayılı kararı (“1. Karar“) ve bir bankanın potansiyel müşteri kazanımı amacıyla kişisel veri işlenmesine ilişkin 2020/103 sayılı kararı (“2. Karar“) Kurul’un internet sitesinde yayımlandı. İlgili veri sorumlularına, Kurul kararını yerine getirmeme ve uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınmadığı gerekçeleriyle idari para cezası kesildi.
Kararlar Ne Diyor?
1. Karar’da ilgili kişi, uçak bileti satış firması olan veri sorumlusunun sistemlerinde kayıtlı olan üyelik e-posta adresinin değiştirilmesini talep etmiştir. İlgili kişi, talebi yerine getirilmediği gerekçesiyle Kurul’a başvurmuş ve Kurul, veri sorumlusunu ilgili kişi başvurularını etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri alması yönünde talimatlandırmıştır. Bunun üzerine ilgili kişi, veri sorumlusunun KEP adresi üzerinden tekrar talepte bulunmuş ancak veri sorumlusundan cevap alamamıştır. Kurul, yaptığı ikinci incelemede veri sorumlusunun Kurul’un talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırmadığı, bu hususta başvuruların sonuçlandırılmasına yönelik gerekli idari tedbirlerin alınmadığı ve Kurul’un verdiği talimata uygun davranılmadığı gerekçesiyle, veri sorumlusu firmaya 50.000 TL idari para cezası vermiştir. Karar özetine buradan ulaşabilirsiniz.
2. Karar’da ilgili kişi, mevduat hesabı açtırmak için gittiği bankanın diğer bir şubesinde açılmış bir ticari hesabının bulunduğu, söz konusu hesapta tüm kimlik bilgilerinin görüldüğü ve ilgili şubede hiçbir işlem yapmamış olmamasına rağmen kişisel verilerin hukuka aykırı olarak işlendiği gerekçesiyle Kurul’a şikayette bulunmuştur. Veri sorumlusu banka, söz konusu kişisel verilerin potansiyel müşteri kazanımı amacıyla üçüncü bir taraftan temin edildiği ve ilgili kişi adına müşteri numarası oluşturulduğunu ifade etmiştir. Bu kapsamda Kurul, ilgili kişiye yönelik işleme faaliyetinin açık rıza veya diğer işleme şartları olmaksızın gerçekleştirildiği, buna rağmen kişisel verilerin silinmediği, yok etmediği veya anonim hale getirmediğini belirterek veri sorumlusu bankaya uygun güvenlik düzeyini temin etmeye yönelik idari ve teknik tedbirleri almadığı gerekçesiyle 210.000 TL idari para cezası vermiştir. Karar özetine buradan ulaşabilirsiniz.
Sonuç
Kurul, veri sorumlularına Kişisel Verilerin Korunması Hakkında Kanun kapsamında sahip oldukları yükümlülüklere ilişkin kararlarıyla rehberlik etmeye devam ediyor. Kurul son bir ayda 17 karar yayımladı. Kurul’un son derece aktif olması dolayısıyla veri sorumluları Kurul kararlarını yakından takip etmeli ve kararlar ışığında süreçlerini Karar’a uygun olacak şekilde gözden geçirmelidir.
COVID-19 salgını ile ilgili hukuki düzenlemelerle ilgili bilgilere Esin Avukatlık Ortaklığı Coronavirüs Masası‘ndan ulaşabilirsiniz.