Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve
Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Kasım ayında Kurul tarafından üç adet veri ihlal bildirimi ile birlikte “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” yayımlanmıştır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Kasım ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayınlanmıştır.

BS Bizim Personel Danışmanlık Hizmetleri Anonim Şirketi

Veri sorumlusu sıfatını haiz BS Bizim Personel Danışmanlık Hizmetleri A.Ş. tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin, 26.10.2023 tarihinde fidye yazılımı saldırısı sonucunda gerçekleştiği, ihlalden etkilenen kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu belirtilmiştir.

İhlalden etkilenen ilgili kişilerin kimlik, özlük, hukuki işlem, işlem güvenliği, sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleri veri kategorilerindeki bilgilerine yetkisiz erişimin gerçekleştirildiği, ihlal edilen kişi sayısının henüz belirlenemediği ancak araştırmaların devam ettiği bilgilerine yer verilmiştir.

Demirkol Otel İşletmeciliği Turizm ve Ticaret Anonim Şirketi

Veri sorumlusu sıfatını haiz Demirkol Otel İşletmeciliği Turizm ve Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; ihlalin, 04.11.2023 tarihinde fidye yazılımı saldırısı sonucunda gerçekleştiği, ihlalden etkilenen kişi sayısının 5 ve kayıt sayısının 300.000 olduğu belirtilmiştir.

İhlal neticesinde etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile ırk ve etnik köken bilgileri olduğu bilgilerine yer verilmiştir. Ayrıca, ilgili kişilere ihlal ile ilgili olarak bilgi edinebilmeleri adına internet sitesi adresine yönlendirme sağlanmıştır.

Vava Cars Turkey Otomotiv Anonim Şirketi

Veri sorumlusu sıfatını haiz Vava Cars Turkey Otomotiv Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; 31.10.2023 tarihinde gerçekleşen ve aynı gün tespit edilen ihlalin, bir dahili kullanıcının kimlik bilgilerinin ele geçirilmesi akabinde uygulama verilerine erişmek amacıyla kullanılması sonucu gerçekleştiği, ihlalden çalışanların, kullanıcıların, abonelerin/üyelerin, müşterilerin ve potansiyel müşterilerin dahil olduğu tam 32.589 kişinin etkilendiği bilgilerine yer verilmiştir.

İhlalden etkilenen kişisel veri kategorilerinin isim, adres, telefon numarası, eposta adresi, IBAN, banka hesabı bilgileri, fiyat, VIN, plaka numarası ve araç bilgileri dahil olmak üzere araba satın alınırken sağlanan müşteri bilgileri, isim, adres, telefon numarası, e-posta adresi, randevu tarihi, merkez adı ve plaka numarası dahil olmak üzere randevu için sağlanan müşteri bilgileri, isim, eposta adresi, telefon numarası, adres, iletişim adı dahil olmak üzere bayi verileri, müşteri adı, e posta adresi, telefon numarası dahil olmak üzere müşteri verileri, isim, adres, e posta adresi, şehir, yönetici adı dahil olmak üzere depo verileri, başlangıç fiyatı, rezerv fiyat, şimdi al fiyatı, toplam maliyet, araç detayları dahil olmak üzere ihale detayları olduğu belirtilmiş ve ilgili kişilerin e-posta ve çağrı merkezi aracılığıyla veri sorumlusundan veri ihlali ile ilgili bilgi alabileceği ifade edilmiştir.

GRC LEGAL Yorumu

Kasım ayında yayınlanan veri ihlal bildirimleri incelendiğinde, üç ihlalden ikisinin siber saldırganlar tarafından fidye yazılımı saldırısı suretiyle gerçekleştirildiği, dolayısıyla diğer pek çok veri ihlalinde de olduğu gibi veri sorumlusunun alması gereken her türlü teknik önlemler bakımından aksiyon almamasından/alamamasından kaynaklı veri ihlallerinin meydana gelmeye devam ettiği görülmektedir.

Her ne kadar teknik tedbirler Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi ile örneklendirilmiş olsa da Kanun’un 12. maddesinde yer bulan “her türlü teknik ve idari tedbir” ifadesi veri sorumlularına oldukça geniş bir yükümlülük getirmektedir. Bu anlamda, alınması gereken önlemlerin bir sonu olmadığı söylenebilecekse de ticari hayatın olağan akışı göz önünde bulundurulduğunda veri sorumlularının her türlü teknik tedbir nezdinde aksiyon almalarının beklenmesi makul gözükmemektedir.

Bununla birlikte, asgari düzeyde temel önlemlerin alınması ve bu yönde çalışmaların arttırılması, şirketlerin mümkün mertebe gelişen teknolojiyi kullanarak teknik altyapılarını güçlendirmeleri olası veri ihlallerinin önüne geçmelerini kolaylaştıracaktır.

KAMUOYU DUYURUSU

Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

Kişisel Verilerin Korunması Kurumu, mağazalarda gerçekleştirilen alışveriş sırasında kasa işlemleri kapsamında “ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile ilgili kişilere SMS ile doğrulama kodu gönderilerek bu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddiaları barındıran çok sayıda ihbar ve şikayet gelmesi üzerine incelemede bulunduğunu ifade etmiştir.

Kurul tarafından yapılan inceleme neticesinde kasa işlemlerinin gerçekleştirilmesi esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca ilgili kişilere herhangi bir aydınlatma yapılmadığı ve/veya doğrulama kodunun kasa işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekliliği öne sürülerek istenilmesini durumunun ticari elektronik ileti gönderimine ilişkin açık rıza alınmasına yönelik ilgili kişilerin yanıltıldığı tespit edilmiştir

Bu kapsamda yapılan değerlendirme neticesinde veri sorumlusunun dikkat etmesi gereken hususlar şunlardır:

  1. Mağazada alışverişi takiben kasa işlemleri sırasında ilgili kişilerin telefonuna gönderilecek SMS’in amacının ve SMS ile iletilen kodun paylaşılması halinde doğacak sonuçların, katmanlı aydınlatmanın bir gereği olarak veri sorumlusu tarafından mağazalarda yetkilendirilen kişilerce ilgili kişilere açık ve anlaşılır şekilde aktarılması ve aydınlatma yükümlülüğünün yerine getirilmesi amacıyla SMS içeriklerinde gerekli bilgilendirme kanallarının sağlanması gerekmektedir.
  2. Ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması gibi birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilerek açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunularak ayrı ayrı açık rıza alınması gerekmektedir.
  3. Veri sorumlularının açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerini ayrı ayrı gerçekleştirmesi gerekmektedir.
  4. Ticari elektronik ileti gönderimi için açık rıza alınmasını amacıyla SMS doğrulama kodu gönderilmesine yönelik bir uygulama söz konusu ise ilgili işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması gerekmektedir.
  5. Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesi ilgili kişilere alışverişin tamamlanabilmesi için zorunlu bir unsur olarak sunulmamalıdır. Zorunlu bir unsur olarak sunulması hali, açık rızanın ‘bilgilendirmeye dayanma ve özgür iradeyle açıklanma’ unsurlarının zedelenmesine sebebiyet vereceğinden bu uygulamalar Kanun’a uygun gerçekleştirilmelidir
  6. Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi gerekmektedir. Böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilecektir.

GRC LEGAL Yorumu

Söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunun sağlanması amacıyla 17.12.2021 tarihinde bir kamuoyu duyurusu yapılmış ise de ilgili faaliyetlere maruz kalan kişilerin farkındalığının yükselmesi neticesinde ihbar ve şikayetlerin artış göstermesi nedeniyle yeni bir kamuoyu duyurusu ile güncelleme yapan Kurul’un, veri sorumlularının dikkat etmesi gereken hususların kapsamını genişlettiği görülmektedir.

Söz konusu değerlendirmelerin, KVKK kapsamında veri sorumlularının aydınlatma ve açık rıza temin etme yükümlülüğüne ve ticari elektronik ileti gönderimine ilişkin hukuki ve operasyonel yönlendirmeler içeriyor olmasının yanı sıra ticari elektronik ileti gönderimi kapsamında 1. ve 6. maddeler gözetildiğinde mağaza yetkililerine de birtakım sorumluluklar yüklemesi ile ön plana çıktığı söylenebilecektir. Bu kapsamda, tüm çalışanların rol ve sorumluluklarına ilişkin bilgilendirilmeleri ve KVKK ve ticari elektronik ileti gönderimi doğrultusunda farkındalıklarının arttırılması özellikle perakende satış yürüten veri sorumluları bakımından idari bir tedbir olarak önem arz etmektedir.