KVKK Bülteni Ağustos 2023

KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Ağustos ayında Kurul tarafından iki adet Kurul karar özeti ve on iki adet veri ihlal bildirimi yayımlanmış olup yayımlanan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Ağustos ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede on iki adet veri ihlal bildirimi yayınlanmıştır.

Atatürk Üniversitesi

Veri sorumlusu sıfatını haiz Atatürk Üniversitesi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

Veri sorumlusu tarafından 09.08.2023 tarihinde işlem günlüklerinde aşırı trafik olduğunun fark edildiği, yapılan incelemelerde, idari görevi olan personelin kullanıcı adı ve şifresi kullanılarak, kişisel verilere yetkisiz erişim sağlandığı ve öğrenci ve çalışan bilgilerinin görüntülendiğinin tespit edildiğinin düşünüldüğü ifade edilmiştir.

İhlale konu kişisel verilerin T.C. kimlik numarası, ad, soyadı, doğum tarihi, doğum yeri, aile sıra no, kütük sıra no, cilt sıra no, sistemde kayıtlı fiziki iletişim adresi, e-posta adresi, cep telefonu numarası, eğitim görmekte olunan birim bilgileri olduğu, ihlalden etkilenen çalışan ve öğrenci sıfatını haiz ilgili kişi sayısının yaklaşık 12.000 olduğu bilgilerine yer verilmiştir.

Diler Holding A.Ş. ve Grup Şirketleri:

Veri sorumlusu sıfatını haiz Diler Holding ve grup şirketleri:

  • Atlas Enerji Üretim A.Ş.
  • Bodova Turizm Yatçılık San. ve Tic. A.Ş.
  • Diler Demir Çelik Endüstri ve Ticaret A.Ş. Diler Denizcilik ve Tic. A.Ş.
  • Diler Elektrik Üretim A.Ş. Diler Dış Ticaret A.Ş.
  • Esm Denizcilik ve Ticaret A.Ş.
  • Eti Toprak Endüstrisi ve Ticaret A.Ş.
  • Renar Bitkisel Üretim Sanayi ve Ticaret A.Ş. Resa Demir Sanayi ve Ticaret A.Ş.
  • Yazıcı Demir Çelik San. ve Turizm Tic. A.Ş.

tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

Veri sorumlusu sistemlerine güvenlik duvarı açığından yararlanılarak sızıldığı ve parola saldırısı ile kullanıcı hesaplarının ele geçirildiği, ele geçirilen hesaplar ile fidye yazılımının yüklendiği, ihlalin 06.08.2023 tarihinde başladığı ve aynı gün sanal sunuculara erişimin kesilmesi sonucu tespit edildiği bildirilmiştir.

Ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve kullanıcılar olduğu, veri kategorilerinin ise kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama ve görsel ve işitsel kayıtlar olduğu, ihlalden etkilenen kişi sayısının 1200 olduğu bilgilerine yer verilmiştir.

Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret A.Ş.

Veri sorumlusu sıfatını haiz Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret AŞ (”Vodatech”) tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

Veri ihlalinin veri sorumlusu sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenerek erişilemez duruma gelmesi suretiyle gerçekleştiği ifade edilmiştir.

Veri ihlalinden etkilenen ilgili kişi grubunun çalışanlar, çalışanların aile yakınları, tedarikçiler, iş ortakları, müşteri çalışanları ve çalışan adayları olduğu ve ihlalden etkilenen verilerin; Kimlik, İletişim, Özlük, Finans, Mesleki Deneyim verileri toplamda 9746 kişinin etkilendiği bilgilerine yer verilmiştir.

Veri İşleyen Vodatech İş Ortağı ile Çalışan Veri Sorumlularının Veri İhlal Bildirimleri Vodatech bünyesindeki veri sunucularına siber saldırı gerçekleştirilmesi ile birlikte ihlalden etkilenen veri sorumlularının veri incelendiğinde:

Veri İşleyen Vodatech İş Ortağı ile Çalışan Veri Sorumlularının Veri İhlal Bildirimleri

  • Dagi Giyim Sanayi ve Ticaret A.Ş. müşterilerine ait “kimlik, iletişim, müşteri işlem bilgileri ile görsel ve işitsel kayıtlar” verilerinin etkilendiği, Beşiktaş Sportif Ürünleri Sanayi ve Ticaret A.Ş. müşteri ve potansiyel müşterilerine ait “kimlik, iletişim, müşteri işlem, görsel ve işitsel verilerinin etkilendiği, kayıtlar”
  • Gulf Sigorta A.Ş. çalışanları ve müşterilerine ait “kimlik (ad soyadı), iletişim (e- mail, telefon numarası), görsel ve işitsel kayıt (ses, e-mail yazışmaları)” verilerinin etkilendiği,
  • AgeSA Hayat ve Emeklilik A.Ş. müşterilerine ait “kimlik, iletişim, müşteri işlem, görsel ve işitsel kayıtlar” verilerinin etkilendiği ve kişi ve kayıt sayısının henüz belirlenemediği,
  • UPS Hızlı Kargo Taşımacılığı A.Ş. müşterilerine ait “kimlik, iletişim, müşteri işlem, görsel ve işitsel kayıtlar” verilerinin etkilendiği ve kişi ve kayıt sayısının henüz belirlenemediği,
  • Puma Spor Giyim Sanayi ve Ticaret A.Ş. bünyesinde ihlalden etkilenen ilgili kişi grubunun, kişisel veri kategorilerinin ve kişi ve kayıt sayısının henüz belirlenemediği ifade edilmiştir.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü (“GDPR“) dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

Hizmet, Açık Rıza Şartına Bağlanamaz!

Sağlık kuruluşuna ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.

Kurulun   konuya   ilişkin   incelemesinde; veri sorumlusuna ait internet sitesinde randevu amacıyla doldurulan form sayfasında kişilere ait ad, soyadı, T.C. kimlik numarası, doğum tarihi ve cep telefonu bilgileri talep edilmekle birlikte aynı sayfanın altında “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun yer aldığı tespit edilmiştir.

İlgili kutucuk işaretlenmediği sürece “ileri” butonunun çalışmadığının anlaşıldığı, dolayısıyla bahsi geçen uygulamanın, ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu ortaya koyduğu, açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki özgür iradelerini sakatlayacağı ve veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’un 5’inci maddesinin 1 numaralı fıkrasında düzenlenen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı gerekçeleri ile 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Sağlık Verilerinin Reklam ve Tanıtım Faaliyetleri Kapsamında Açık Rıza Temini ile İşlenmesi Hukuka Aykırıdır!

Kuruma intikal eden ihbarda özetle; hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği ve hastanın, onam formlarına imza atmış olmasının açık rızayı hukuka uygun hale getirmeyeceği ifade edilmiştir.

Kurul  konuya  ilişkin  yapılan  incelemesinde;  Özel   Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan hüküm uyarınca özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağının düzenlendiği ve Reklam Kurulunun 20.08.2019 tarihli ve 2019/2602 dosya numaralı kararında özetle, hastanın yaşadığı sağlık sorununa ilişkin tedavinin başarılı bir şekilde sonuçlandığı yönündeki ifadeleri konu alan bilgilendirme ve tanıtımların kuruluşun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve diğer sağlık kuruluşları aleyhine haksız rekabete yol açıcı nitelikte olduğuna karar verildiği gerekçelerine dayanarak veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

GRC LEGAL YORUMU

Yukarıda yer vermiş olduğumuz Kurul kararları sağlık sektörüne ilişkin verilen iki önemli karar olarak ön plana çıkmakla birlikte kişisel veri teması olan tüm sektörlere de yol gösterici nitelikte olduğu su götürmez bir gerçektir. Nitekim; hukukun bir bütün olduğu göz önünde bulundurulduğunda KVKK uyumunun da bütüncül bir gözle sağlanması büyük önem arz etmektedir.

Bu kapsamda, KVKK uyum çalışmalarında kişisel veri teması bulunan mevzuatların ilgili hükümleri ve düzenleyici idari otoritelerin kararları değerlendirilerek ilerlenmelidir. Zira, ilgili kişilerden süreç ve faaliyet kapsamında açık rıza temin edilmesi suretiyle mevzuat hükümleri ve düzenleyici idari otorite kararlarının atlatılmaya çalışılması, KVKK temel ilkelerinden olan hukuka ve dürüstlük kurallarına aykırılığa sebebiyet verecektir.

Yazar Hakkında

kamilko

GRC Legal

PDF olarak indir
Dünyada Neler Oluyor XIII
Objektif Değerlendirme Kriteri Bilgi Notu