Kişisel Verileri Koruma Kurulu’nun 18.05.2021 Tarihinde Yayınladığı Karar Özetlerine İlişkin Bülten
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 18.05.2021 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan bazı karar özetleri yayınlanmış olup, kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.
- Belediyeler tarafından sunulan internet hizmetlerine ilişkin 25.02.2021 tarih ve 2021/140 sayılı karar
Kişisel Verileri Koruma Kurumu’na (‘’Kurum’’) iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun Kanun kapsamında incelenmesi talep edilmiştir.
Kurul Tarafından Verilen Karar:
- Yapılan incelemeler neticesinde bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanun’a uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanun’un 12/1 maddesinin b bendinde yer alan hükme aykırı olduğu bu nedenle;
- Bazı Belediyelerin bu yöndeki Kanun’a aykırı uygulamaları nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığı’na ve Türkiye Belediyeler Birliği’ne bilgi verilmesine,
- Diğer taraftan, yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.
- İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması hakkında Kurul’un 13.04.2021 tarihli ve 2021/359 sayılı kararı
Veri Sahibi Şikayeti/Talebi: İlgili kişinin Kurum’a intikal eden şikayetinde özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek Kanun’u kapsamında gerekli yaptırımların uygulanması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları istenilmiştir.
Kurul Tarafından Verilen Karar:
- Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanun’un 5/2 maddesinde yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede Kanun’un 12/1 maddesi hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanun’un 18/1 maddesinin b bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
- Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar ile ilgili olarak Kurul’un 20.04.2020 tarihli ve 2021/389 sayılı kararı
Veri Sahibi Şikayeti/Talebi: Kurum’a intikal eden bir ihbarda; ihbar eden ilgili kişinin bir sigorta şirketi (“Şirket”) aracılığıyla bireysel emeklilik sözleşmesi yaptırdığı, Şirket’in internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Kurul Tarafından Verilen Karar:
- Kanun’un 5. maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanun’un 4. maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanun’un 12/1 maddesinin numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, Kanun’un 18/1 maddesinin b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirket’in kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına,
- Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.
- Bir hastanenin veri ihlal bildirimi hakkında Kurul’un 20.04.2021 tarih ve 2021/407 sayılı kararı
Veri İhlal Bildiriminin Konusu: Bildirimde;
- Veri ihlalinin, hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği;
- İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği;
- Hekimin bir hastasının hastaneye gelmesi üzerine, tedavi geçmişinin hekim tarafından alındığı bilgisinin kendisine verildiği;
- İhlalin gerçekleşmesinden önce ihlal ile ilgili çalışanlardan (eski çalışan dahil 9 kişi) biri hariç hepsinin kişisel verilerin korunması eğitimi aldığı;
- İhlalin tespit edilmesinden 25 gün sonra Kurum’a bildirildiği, geç bildirim sebebi olarak; ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalandığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği hususlarına rağmen kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kurum’a bildirim yapıldığı şeklinde açıklandığı ifadelerine yer verilmiştir.
Kurul Tarafından Verilen Karar:
- Kanun’un 12/5 maddesinin hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanun’un 18/1 maddesinin b bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
- İlgili kişilere Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.