Kişisel Verileri Koruma Kurulu’nun 03.08.2018 tarihli yeni Karar Özetleri yayımlandı.

Kararlardan bazılarının detaylarına ulaşıldı. Bunlar da okuyacağınız yazının devamında sizlerle paylaşılacaktır.

Yeni yayımlanan 3 farklı Karar özeti özellikle doktorları/sağlık personellerini ve IK birimlerini ilgilendiriyor. Ayrıca şirketler topluluğu bünyesinde bulunan şirketlerin veri aktarımı ve aynı veri tabanını kullanma hususunda nelere dikkat etmesi gerektiğine işaret ediliyor.

İdari para cezalarının miktarlarına ilişkin edinilen bilgiler de aşağıda yer almaktadır.

3. karara ilişkin veri sorumlusuna verilen toplamda 4 farklı sebepten karar verilen idari para cezalarından sadece ikisine Kurumun sitesinde yer verilmiş diğer ikisine yer verilmemiştir.

Kurul veri sorumlusuna, açık rıza metninden dolayı 50.000 TL, aydınlatma metninden dolayı da 25.000 TL idari para cezası vermiş.

Karar Özetleri:

1- Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden 6698 sayılı Kişisel Verilerin Korunması Kanununun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

2- Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

3- İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorumlusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca 100.000 TL idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu altında yer alan birden çok veri sorumlusu şirketler (farklı şirketler) arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan farklı tüzel kişiler arasında gerçekleşecek veri aktarımında da Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği, dolayısı ile yurt içinde kişisel verilerin aktarımında kişinin açık rızasının bulunup bulunmadığı ya da Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan hallerden birinin gerçekleşip gerçekleşmediğinin değerlendirilmesi gerektiği,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle, iş başvurusunda bulunan adayın kişisel verilerini kendi aralarında paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca 25.000 TL idari para cezası uygulanmıştır.

Kurul Karar özetlerinde yer almayan aynı şirkete ilişkin diğer cezalar aşağıda açıklanacaktır.

c)Şikayete konu olayın gerçekleştiği dönemde şirket tarafından kişilerin profil oluşturma işleminden önce alınan açık rıza metninde genel nitelikte, belirli olmayan ve içerikleri sonradan doldurulabilecekleri ifadeler yer verdiğinden kişisel veri işleme faaliyetinin Kanunun 4üncü maddesinin (2) numaralı fıkrasının (a) bendinde belirlenen hukuka ve dürüstlük kuralına uygun olma ilkesi çerçevesinde gerçekleştirilmediği dikkate alınarak, Kanunun 12 inci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil eden uygulaması nedeniyle Kanunun 18 inci maddesinin (1)numaralı fıkrasının (b) bendi çerçevesinde Şirket hakkında 50.000.-TL,

d)Şikayete konu olayın gerçekleştiği dönemde Şirket’in internet sitesinde “Kişisel Verilerin Korunması” başlıklı genel bir aydınlatma metnine yer verilmiş olmakla birlikte, profil oluşturmak suretiyle ilgili kişilerin kişisel verilerinin işlenmesi sırasında herhangi bir aydınlatma metnine yönlendirme yapılmadığı, ayrıca söz konusu genel metinde kişisel verilerin hangi amaçla işleneceğine ilişkin açık ve belirli olmayan genel nitelikte ifadelere yer verildiği dikkate alındığında, adı geçen veri sorumlusu tarafından aydınlatma yükümlülüğünün Kanunun 10 uncu maddesi hükmüne uygun şekilde yerine getirilmemesi nedeniyle, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde 25.000.-TL,

İdari para cezası uygulanmasına karar verilmiştir.

Açık rıza ve aydınlatma metninin katmanlı hazırlanması daha belirli olabilmeye imkan sağlayacaktır. Ayrıca verinin toplandığı anda bilgilendirme yapılması ve detaylı bilgilendirmeye yönlendirme yapılmasının önemli görüldüğü de söylenebilir. Özellikle internet sitesi üzerinden form veya benzeri çeşitli süreçlerle (üyelik formları, micro formlar, newsletter kaydı yapılan bölümler)  veri toplanan her kanalda sade ve anlaşılır bir şekilde verinin neden toplanıldığı yazılması (just-in-time bilgilendirme) kişilerin aydınlatılmasına önemli ölçüde katkı sağlayacaktır.

Kararın yayımlanmayan kısımları ve idari para cezalarının miktarına ilişkin @kisiselveri ve @avhsturan isimli twitter hesapları kaynak olarak alınmıştır.

Kararın linki : https://www.kvkk.gov.tr/Icerik/5262/Kisisel-Verileri-Koruma-Kurumu-Karar-Ozetleri

Sevgiler

Posted by Oğuz Kartöz

Oğuz Kartöz, Marmara Üniversitesi Hukuk Fakültesinden mezun oldu. İstanbul Üniversitesi'nde Kamu Hukuku alanındaki yüksek lisans eğitimine devam ediyor. Kişisel Veriler, Mülkiyet Hakkı, AYM ve AİHM, Siber güvenlik, E-ticaret ve Sözleşmeler Hukuku alanlarıyla ilgilenmektedir. 2012 yılında Genç Fütüristler derneğinin üyesi olarak çeşitli projelerin kurucu ekipleri arasında yer alma fırsatı bulmuştur. Genç Fütüristler Yönetim Kurulu üyesi olarak görev yapmaktadır. Gelecek trendlerinin ve teknolojik gelişmelerin felsefi, sosyal ve hukuksal yönleriyle ilgilenmektedir.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir