6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 2022 Şubat ayında yayınlanan kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.  

1. Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılmasına ilişkin Kurul’un 2022/13 sayılı Karar Özeti

Şikâyete konu olayda, veri sahibinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı ve veri sorumlusuna bu veri işleme faaliyeti ile ilgili başvuruda bulunulduğu, ancak bu başvurunun da yanıtsız bırakıldığı belirtilmiştir.

Kurul, bahse konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu, dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğunu belirtmektedir.

Kurul, haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varmış olup, söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanuna aykırına olduğuna ve veri sorumlusuna idari para cezası uygulanmasına karar vermiştir. Karar tarihi itibariyle şikâyete konu haberin internet sitesinden kaldırılmasının, veri sorumlusuna verilen cezada hafifletici sebep olduğu belirtilmiştir.

Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz:

https://kvkk.gov.tr/Icerik/7179/2022-13

2. Yemek Sepeti veri ihlal bildirimi hakkında Kurul’un 2021/1324 sayılı Karar Özeti

Kurula intikal eden şikayette, kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği, ihlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği, şahıs/şahısların elde ettikleri verileri Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu, ihlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği, ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu belirtilmektedir.

Kurul, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilememesi nedeniyle veri sorumlusunun kusurlu olduğunu belirtmektedir. Aynı zamanda veri sorumlusunun, hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığını ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğuna kanaat getirilmiştir.

Ayrıca, veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığı ve sızma testlerinin etkin bir şekilde uygulanmadığı belirtilmiştir.

Bu nedenlerle, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun’un 12’inci ve 18’inci maddeleri uyarınca idari para cezası verilmesine karar verilmiştir.

Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz:

https://kvkk.gov.tr/Icerik/7168/2021-1324

3. Kurul tarafından yayınlanan İlke Kararlar Kitapçığı

Kurul tarafından yayınlanan İlke Kararlar Kitapçığına ilişkin detaylı bilgiye aşağıda linki verilen bültenimizden ulaşabilirsiniz:

https://bener.com/tr/kvk-kurulunun-ilke-kararlarina-iliskin-bulten/

Batuhan Şahmay
Behiç Ateş Gülenç
Avukat | [email protected]