Kişisel Verileri Koruma Kurulunun Özet Kararları Hakkında Yorumlar

2018-06-17T15:35:03+00:00 20/04/2018|Categories: VERİ KORUMA HUKUKU - KİŞİSEL VERİLERİN KORUNMASI|

Kişisel Verilerin Korunması Kurulu 8 adet kararını özet olarak dün akşam yayımladı. Kararlar yol gösterici olması için sık karşılaşılan ve çeşitli olaylardan seçilerek paylaşılmış. Kurulun tarafları olabildiğince gizlediği kararlarda ceza veren bir makam olmamak için de para cezalarının yazılmadığı da görülüyor. Kararlar, Kurum’un faaliyetlerine hızla devam ettiğini, Kişisel Verilerin Korunması Kanun’un uygulanması konusunda kararlı olduğunu gösteriyor. Çoğu olayda temek gerekçe veri güvenliğinin gerek idari gerekse teknik olarak sağlanamamasından kaynaklandığı anlaşılıyor. Çalışanlarda yeterli farkındalık düzeyinin olmaması ortak bir eksiklik olarak göze çarpıyor. Kurul verdiği kararlarda genel olarak Kanun’a uyum sağlama yönünde irade gösteren veri sorumlularına karşı hoşgörülü davranacağının da mesajını yaptırım rakamlarının oranında göstererek, bütün sorumluları Kanun’a uyum için teşvik ediyor.

 

1 – Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

  1. Olay İçin Yorum
  • Ticari sözleşmelerde genellikle sözleşme sürecini yürütecek olan kişilerin bilgileri yazılmaktadır. Kurul’un kararına konu olayda şirket çalışanları ile örnek sözleşmeler paylaşmıştır.
  • Veri güvenliğini sağlamak bir şirketin her kademede dikkat etmesi gereken yükümlülüktür. Sözleşme sorumlusu olan çalışanın ev adresinin herhangi bir veri işleme şartına dayandırılmadan yazılması şirket aleyhine idari yaptırım sonucunu getirmiştir. Şirketlerin her kademe kişisel veri farkındalığını artırılmalı, veri güvenliği sağlanmalıdır böylece kişisel veri işleme sürecinde daha sorun çıkmadan kaynağından çözülecektir.

 

2 – Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)

Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

– İlgili mevzuatta yer almaması

– Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

 

  1. Olay İçin Yorum
  • Sık karşılaşılan sorunlardan birisi de gerektiğinden fazla bilgi talebidir. Kurul’un kararına konu olan olayda müşteriden ilgili mevzuatta yer almayan ve amaç ile bağdaşmayan ek belgeler istenmiştir.
  • Amacı aşan her türlü kişisel veri şirketler için yeni bir sorumluluktur. Eldeki verinin minimum seviyeye indirilmesi gerekirken işlem için gerekmeyen her türlü belge talebi, müşteri kendi rızası ile verse dahi temel ilkelere aykırı olacaktır. Gerektiği kadar bilgi ve yetki alınmalıdır. Bu kuralı aşan talepler şirketin kontrol edemeyeceği bir yüktür. Müşterilerden gereksiz belge talebi de şirketin çalışanlarına yeterli bilgi vermemesi sebebiyle kişisel veri güvenliğini sağlamadığının işaretidir.

 

3 – Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması

a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.

 

  1. Olay İçin Yorum
  • a – Kişisel bilginin talep üzerine veya otomatik olarak aynı isimli başka kişiye gönderilmesi sıklıkla yaşanan sorunlardan birisidir.
  • a – Kişisel verinin sahiplerinin tespitinde sadece isim ile eşleştirme değil, müşterileri tanımlayacak vatandaşlık numarası gibi bir başka eşleştirme kullanılması gerekmektedir. Müşteri sayısının milyonları bulduğu şirketlerde durum dahi vahim noktalara ulaşabilmektedir. Bu sebeple gerek belge talebi başvurularını alırken gerekse talep sonucu bilgileri iletirken muhatabın manuel ve otomatik olarak teyit edileceği teknik önlemlerin alınması gerekmektedir. Bu önlemlerin alınmaması sistemsel bir açıktır. Şirketin kendi eliyle müşterisinin kişisel verisini ilgisiz kişilere teslim etmesi yeterli güvenlik tedbirinin alınmaması anlamına gelmektedir. Şirket bu tür açıkları bulmak için kendi sistemlerini sahte başvurular ile sürekli zorlamalıdır. Bu şekilde çalışan bilinci de artacaktır.

 

  • b – Müşterisinin bilgilerinin, müşterinin haberi olmadan sorgulanması daha çok bir başka müşterinin talebi ile olmaktadır. Yaşadığı yerin tespiti, finansal durumunun teyit edilmesi için kurumlardan sürekli bu talepler yapılır.

 

  • Bir müşterinin kişisel bilgilerine yetkisiz erişmek zaten şirkete karşı bir bilişim suçudur. Fakat gerekli yetki sınırlandırmaları yapılmasına rağmen yetkinin verildiği çalışanın veriye ulaşması kişisel veri sahibinin hem Türk Ceza Kanunu hem de Kişisel Verilerin Korunması Kanunu açısından yaptırımları vardır. Bu tür olayların en büyük sorunu veri sahibinin sorgulardan haberdar olmamasıdır. Bir şekilde öğrenmesi halinde ise ancak şirket tarafından ortaya çıkartılabilmektedir. Günlük işlerden sayılan bu tür müşteri sorgulamaları şirketlerin merkezi olarak takibe alması gereken işlerdendir. Aksi durum ciddi bir itibar kaybı yaratacağı gibi risk altındaki kişisel verinin değerine göre yaptırımı olacaktır.

 

  1. İlgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

 

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;

Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

  1. Olay İçin Yorum

 

Müşterin şirketlerde bulunan kişisel verileri ile ilgili geniş hakları mevcuttur. Bunlardan birisi de silme talebidir. Bu tür bir başvuru geldiğinde şirketlerin 30 gün içerisinde başvuruya olumlu veya olumsuz bir yanıtı gerekçesi ile birlikte vermesi gerekecektir. Bu süre içerisinde yanıt verilmez veya verilen yanıt müşteri tarafından tatmin edici bulunmazsa yine 30 gün içerisinde Kurul’a şikayet hakkı bulunmaktadır.

Bir şirketin KVKK’ya uyum sağlamak için ilk yapması gereken işlerden birisi de kişisel veri envanteri çıkartmaktır. Bu sayede tutulmaması gereken kişisel veriler tespit edilir. Tutulmaya devam edilecek kişisel veri türleri için de ne kadar süre ile muhafaza edileceğine dair bir zaman belirlenir. Örneğin sözleşmeler ile ilgili süre genellikle 10 yıl olarak belirlenir. 10 yıl sonunda bu tür kişisel veriler zamanı geldikçe yok edilir veya anonimleştirilir. Bu aktif olmayan süre boyunca saklama amacı dışında da bu kişisel verinin başka amaçlarla işlenmemesi gerekmektedir. Bu sebeple şirketlerin aktif olmayan müşterini tespit edip, saklama amacı dışındaki aktif müşterilere uygulanan bütün veri işleme süreçlerinden çıkartmalıdırlar.

 

  1. Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

 

İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;

Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

 

  1. Olay Hakkında Yorum

 

Kişisel Kanun’un uygulanması ile ilgili taleplerini öncelikle veri sorumlusu şirketlere iletmek zorundadırlar. BBu talebi şirketler, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre ücret karşılığında inceleyeceklerdir. Cevap en kısa sürede ve en geç̧ otuz gün içinde verilmelidir. Şirket kabul veya gerekçesini açıklayarak reddedebilir. Talep kabul edilirse, gereğini yerine getirmesi; talep hakkında şirket hatalıysa alınan ücretin ilgiliye iade edilmesi gerekiyor. Başvuruya cevap verilmezse veya cevap yetersiz bulunursa kişi Kurul’a şikayet edebiliyor. Şikayet sonucunda Kurul’un verdiği kararı şirketin uygulaması gerekecektir. Kurul da şikayete cevap vermezse talep reddedilmiş sayılacaktır. Kurul bir şikayet olmasa da her zaman kendisi denetleme yapabilir. Kişiler için tanınan bu başvuru hakkı tazminat davası açmalarına veya bir cezai soruşturma başlatmak için şikayet etmelerine de bir engel değildir. Bu sebeple şirketlerin sorun büyümeden müşteri ile çözmeleri daha çok daha doğru olur. Başvuru ile ilgili KVKK internet sitesinde özel bir tebliğ yayımlanmıştır. Bu tebliğe göre şirketlerin hızla kişisel veriler ile ilgili başvuru için alt yapı oluşturması gerekecektir.

 

 

6 – İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

 

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

– Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

– Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

 

  1. Olay Hakkında Yorum

 

Mahkemelerden tarafından istenen bilgilerin gönderilmesi bir hukuki yükümlülüktür. Fakat bu yükümlükte yerine getirilirken kişisel verilerin korunması ile ilgili amaçla bağlantılı, sınırlı ve ölçülülük ilkesine göre hareket edilmelidir. Mahkeme hangi bilgiyi talep etmişse sadece o bilgi gönderilmelidir. Gönderilirken üçüncü şahısların görmeyeceği tedbirler de alınmalıdır. Şayet mahkemenin talebi net anlaşılmıyorsa bu husus mahkeme ile irtibata geçilerek netleştirilmelidir. Bütün iş süreçleri gözden geçirilerek gerekli idari ve teknik güvenlik tedbirlerinin alınması, bütün çalışanların farkındalığının artırılmasına yönelik eğitimlerin yapılması bu tür olayların önlenmesinden en etkili çözümdür. Burada önemli olan güvenlik konusundaki en zayıf halkanın insan faktörü olduğu bilinci ile hareket etmek ve eğitimleri ara ara tekrarlamaktır.

 

  1. Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

– Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

– Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

  1. Olay Yorumu

Bir sözleşme ilişkisi kapsamında alınan ürün veya hizmet için kişisel verinin işlenmesi olağan bir durumdur. Ayrıca bir açık rıza alınması gerekmemektedir. İstisnalardan herhangi birisine giren veri işleme süreci için ayrıca rıza almak doğru değildir. Rıza kirliliğine neden olacak şekildeki yaklaşımlardan kaçınmak gerekmektedir. Açık rızanın her zaman geri alınabileceğini bu durumda da iş süreçlerinin olumsuz etkileneceğini de göz önüne almalıyız. Bununla birlikte veri işlemenin istisna şartlarına girmeyen durumlarda da açık rıza alınmasını ihmal etmemeliyiz. Gerektiği kadar bilgi, gerektiği kadar yetki prensibi ile istisna dışında kalan veri işleme süreçleri için izin verilmedikçe yasaktır anlayışını sindirmemiz gerekiyor. Bu durumda kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.

 

  1. Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

 

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

 

  1. Olay Yorumu

Veri Sorumluları, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak yükümlülüğü altındadır. Veri sızıntısı kişisel verilerin başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede veri sahibi kişilere ve Kurula bildirmelidir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. İşte bu ilan sonucunda değer ve itibar kaybı korkusu, bilişim sistemlerindeki sızıntının nasıl olacağının anlaşılmasındaki güçlük bu bildirimlerin geç yapılması veya hiç yapılmaması sonucunu doğurmaktadır. İşte bu bildirim süresinde yapılmamasının da bir yaptırımı vardır. Sızıntının veri sorumlusunun hizmet aldığı bir yerden kaynaklanması halinde bu yaptırımlar ile ilgili birbirlerine dava açma süreçleri de geleceğin önemli meselelerinden olacaktır.

Önceki yazıyı okuyun:
patent ücret
ÇALIŞAN İŞÇİ BULUŞLARI

Çalışan buluşları konusu eski mevzuatta yer alsa da özellikle gelir paylaşımı konusu Sınai Mülkiyet Kanunun düzenlemesi kadar net değildi. Bu...

Kapat