Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlularının ilgili kanuna aykırı davranmaları nedeniyle Kişisel Verileri Koruma Kurulu denetim gerçekleştirmiş ve çeşitli yaptırımlar uygulamıştır. Kurulun kendi sitesinde de yer vermiş olduğu kararlar uygulamaya dair karşılaşılan ihlalleri açıkça göstermekte ve alınması gereken önlemleri ortaya çıkarmaktadır. Bu kapsamda Kurul tarafından son zamanlarda alınmış ve aşağıda yer verdiğimiz kararlar incelendiğinde en sık karşılaşılan ihlallerin verilerin toplanması ve işlenmesinde Kanunun 4 üncü maddesinin 2 numaralı fıkrasında yer alan ilkelere uyulmaması ile Kanunun 12 nci maddesinin 1 numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak yükümlülüğüne uyulmaması olduğu anlaşılmaktadır. Bunların haricinde Kanun kapsamına ve uygulamaya yönelik birçok açıklayıcı karar verilmiştir.

  • Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/167 Sayılı Kararı,

Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili başvuruda kurul;

    • Spor kulübüne giriş ve çıkışların kontrolü amacıyla getirilen avuç içi izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılmasının yani biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki ölçülülük ilkesine aykırı olduğundan hareketle veri sorumlusu hakkında 225.000 TL idari para cezası uygulanmasına,

Söz konusu uygulamanın derhal sonlandırılması, Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin ivedilikle yok edilmesi, veriler 3. kişilere aktarılmışsa yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar vermiştir.

  • Kişisel Verileri Koruma Kurulunun 03/03/2020 Tarihli ve 2020/196 Sayılı Kararı,

Bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlar ile ilgili olarak habere konu kamu kurumu nezdinde başlatılan idari soruşturma çerçevesinde söz konusu kamu kurumunda görevli denetçiler tarafından haberin altına yapılan tüm kullanıcı yorumları ve bu yorumları yapan kimselerin tüm IP adreslerinin talep edildiği ve bu talebe cevaben ilgili veri sorumlusunun, tüm kullanıcı yorum ve IP’lerinin kamu kurumuna aktarıldığı tespit edilmiştir. Kurul bu başvuruda;

375 sayılı Kanun Hükminde Kararnamenin Ek 24 üncü maddesi, "Müfettiş, denetmen, denetçi, kontrolör ve aktüerler ile bunların yardımcısı ve stajyerleri, görevleri sırasında tüm resmi daire, kurum, kuruluş ve kamuya yararlı derneklerle, gerçek ve tüzel kişilerden gerekli yardım, bilgi, evrak, kayıt ve belgeleri istemeye yetkili olup, kanuni bir engel olmadıkça bu isteğin yerine getirilmesi zorunludur.” hükmünü açıkladıktan sonra söz konusu aktarım ile idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının Kanunun 4 üncü maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğundan hareketle 50.000 TL idari para cezası uygulanmasına karar vermiştir.

  • Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/41 Sayılı Kararı,

Başvurucunun bir Bankaya kredi borcu olduğu, muhtelif nedenlerle borcunu ödeyemediği ve Bankanın yasal takip başlattığı, 2018’in ikinci yarısında sigortalı olarak bir işe girdiği ve  Bankanın iş yerini aradığı ve aile bilgilerinin sorgulandığı, ödeme yapıp yapmayacağının iş yeri sekreterine defaten sorulduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığı belirtilerek konuyla ilgili Bankaya mail yoluyla başvurduğu ve 100.000 TL maddi manevi tazminat isteminde bulunduğu belirtilmiş ve KVVK kuruluna başvurulmuş.

Kurul ise KVKK madde 11 kapsamında bir talebin mevcut olmadığı, şikayetin iddiaları kanıtlayıcı belge içermediği ve  tazminat talebinin genel mahkemeler huzurunda kullanılması gerektiğinden hareketle KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

  • Kişisel Verileri Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Kararı,

Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında başvuruyla ilgili olarak Kurul;  

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda olduklarından ve kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik olarak Kanunun 16 ncı maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda Sicile kayıt yükümlülüğünün bulunduğu yönünde karar ver`miştir.

  • Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Kararı,

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda, İl Sağlık Müdürlüğüne verilen bir dilekçede bir şahısa ait tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verilmiş. Dilekçeyi İl Sağlık Müdürlüğüne veren kişinin  eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı ihtimalinden hareketle, Eczane hakkında  Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla 60.000 TL idari para cezasına, İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçundan savcılığa ihbarda bulunulmasına karar verilmiştir.

  • Kişisel Verileri Koruma Kurulunun 30/04/2020 Tarihli ve 2020/325 Sayılı Kararı,

01/01/2018 tarihinde çıkarılan Avrupa Uyum Yasaları içerisinde “Otomatik Bilgi Paylaşımı” adı altında 116 ülke ile anlaşmalar yapıldığı ve bu anlaşmalar içinde Türkiye’nin de yer aldığı, bununla birlikte kişisel verilerin ilgili kişilerin açık rızası alınmadan yurtdışına aktarılamayacağı ifade edilerek kişilerin emeklilikleri hakkında özel bilgilerinin Avrupa ülkeleri ile paylaşılmaması talebini içeren başvuruda kurul; aynı biçim, içerik ve adres bilgisine sahip çok sayıda başvuruda önce veri sorumlusuna başvurma şartının sağlanmadığı gerekçesiyle başvuru reddedilmiştir.

Önce veri sorumlusu niteliğini haiz T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı Sosyal Güvenlik Kurumuna başvurması gerektiği kendisine açıklanan vekilin aynı içerikteki ve usulen eksik nitelikteki dilekçeyle ısrarla başka gerçek kişiler adına başvuruya devam etmesinin dürüstlük kuralına aykırı olduğu ve dilekçe hakkının kötüye kullanıldığı değerlendirmesi yapılmış ve ilgili vekil hakkında vekalet sözleşmesi adı altında haksız kazanç sağlayabileceği ve bu durumun da Türk Ceza Kanunu kapsamında suç teşkil edebileceği hususu dikkate alınarak suç duyurusu yapılmasına ve benzer nitelikteki diğer başvuruların değerlendirmeye alınmamasına karar verilmiştir.

  • Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Kararı,

Bir bankanın, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği bilgisini içeren ihlal bildiriminde kurul;

    • İhlalden etkilenen kişilerden bazılarının Banka müşterisi olmadığı dikkate alındığında özellikle Banka müşterisi olmayan kişilere ait KKB sorgulamaları için Banka tarafından zamanında gerekli teknik ve idari tedbirlerin almadığının değerlendirildiği,
    • ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay gibi oldukça uzun bir süre bulunduğu,
    • veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği,
    • ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu,
    • ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu,

dikkate alınarak veri sorumlusu hakkında 1.000.000 TL idari para cezası uygulanmasına karar vermiştir.

  • Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı,

 

Bir Oyun şirketinin oyuncu verilerine yasal olmayan yollarla hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği ve kullanıcıların kişisel verilerinin çalındığı ihbarını içeren başvuruda kurul;

    • Veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL,
    • "İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir." hükmünde belirtilen  (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.