• +905335410514
  • zekeriya_demirtas@hotmail.com

Category ArchiveKvkk

KVKK – Biyometrik Verilerin İşlenmesinde Dikkat Edilecek Hususlara İlişkin Rehber

Biyometrik Verilerin İşlenmesinde Dikkat Edilecek Hususlara İlişkin Rehber

GİRİŞ

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır.

Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesindeki biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünülmektedir. Bu tanıma göre biyometrik veri; “yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik2 veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlamıştır. GVKT’nin tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;

  • Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
  • Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.

Kanunun kabulü öncesinde bazı yargı kararlarında da biyometrik yöntemlere ilişkin tanımlamaların yer almış olduğu görülmektedir. Örnek olarak; “Biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilmek suretiyle, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğu3 4, şeklindeki tanım gösterilebilir.

Bu tanımlardan hareketle “biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir5. Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri çok kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse ortadan kalkmaktadır.

Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. Fizyolojik nitelikli biyometrik veriler,

1 Daktiloskopi: Parmak izine dayanarak kimlik belirleme yöntemi (https://sozluk.gov.tr/)

2 Fizyolojik: Fizyoloji ile ilgili, vücutla ilgili, (https://sozluk.gov.tr/)

3 Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararı

4 Danıştay’ın tanımına ek olarak belirtmekte fayda görülmektedir ki, yüz geometrisi de el geometrisi gibi işlem görmektedir.

5 Satapathy S. C. & Joshi A. (2017). Information and Communication Technology for Intelligent Systems (ICTIS 2017), Bhatnagar S. Cooperative Multimodal Approach for Identification – (Volume 1, s. 13-18)

Tamamı İçin Tıklayınız

Kaynak: KVKK

personel programı

Devamı: KVKK – Biyometrik Verilerin İşlenmesinde Dikkat Edilecek Hususlara İlişkin Rehber Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

ÖZET

Bu doküman; yapay zekâ alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin korunması amacına yönelik önerileri içermektedir.

Amaç ve Dayanak

Türk Dil Kurumu Sözlüğünde Zekâ, “insanın düşünme, akıl yürütme, objektif gerçekleri algılama, yargılama ve sonuç çıkarma yeteneklerinin tamamı” olarak tanımlamıştır. insan, duyuları vasıtasıyla çevreden topladığı verileri beyninde işler ve zekâsı vasıtasıyla bu verilerden faydalı bilgiler üretir. Bu bakımdan insan bir nevi veri toplama ve işleme sistemi gibi düşünülebilir.

Yapay zekâ ise; insana özgü bu özelliklerin analiz edilerek makinelere kazandırılması olup, insan gibi düşünebilen, yorumlayabilen ve kararlar verebilen algoritmaların ve bilgisayar yazılımlarının geliştirilmesi ile ilgilenmektedir.

Günümüzde yapay zekâ teknikleri ve uygulamalarında büyük ilerleme kaydedilmiş ve yapay zekâ tabanlı sistemler birçok alanda yaşamı doğrudan etkilemeye başlamıştır.

Yapay zekâ, bireyler ve toplum için önemli faydalar üretmekle birlikte, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçimde yönetilmelidir. Kişisel veri işlemeyi temel alan yapay zekâ çalışmaları ve uygulamaları 6698 Sayılı Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uygun olmalıdır.

Bu doküman, yapay zekâ alanında yapılan/yapılacak çalışmalara yönelik tavsiyeleri içermekte ve söz konusu çalışmalar kapsamında kişisel verilerin korunması hususunda açıklık sağlanmasını hedeflemektedir.

Tamamı İçin Tıklayınız

Kaynak: KVKK

personel programı

Devamı: Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

KVKK – Whatsapp Uygulaması Hakkında Yürütülen Re’sen İncelemeye İlişkin Kamuoyu Duyurusu

Whatsapp Uygulaması Hakkında Yürütülen Re’sen İnceleme

WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini içerecek şekilde Hizmet Koşullarının ve Gizlilik İlkesinin güncellendiği, bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.

Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere WhatsApp hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve konuya ilişkin WhatsApp’tan alınan savunma yazıları ve bununla bağlantılı olarak WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı, Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür.

Bu kapsamda; Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;

  • Veri sorumlusu tarafından söz konusu uygulama kapsamında çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayanıldığı ve kişisel veri işlemeye yönelik açık rıza şartının ise istisna olarak başvurulan bir şart olduğu belirtilse de Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusu tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının Kanunun 4’üncü maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
  • İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı, bu hususta veri sorumlusunca Kanunun 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
  • WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmek suretiyle ilgili kişilerden sözleşmeye onay vermelerinin istenildiği ve sonrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurulumuza bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
  • Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı
personel programı

anlaşıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,

Ayrıca veri sorumlusunun;

  • Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
  • Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması

ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kaynak: Kişisel Verileri Koruma Kurumu

Devamı: KVKK – Whatsapp Uygulaması Hakkında Yürütülen Re’sen İncelemeye İlişkin Kamuoyu Duyurusu Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

KVKK Kararı – Yurt Dışında Yaşayan T.C. Vatandaşlarının Kişisel Verilerinin Yurt Dışına Aktarılması

“Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Kişisel Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu

Kişisel verilerin yurtdışına aktarılmasına yönelik hükümler 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9 uncu maddesinde Kanunun kişisel veri işleme şartlarına ilişkin maddelerine atıf yapılmak suretiyle belirtilmiştir. Bu kapsamda;

  • Yurt dışında ikamet eden Türkiye Cumhuriyeti vatandaşları tarafından Kurumumuza, gerek Cumhurbaşkanlığı İletişim Merkezi (CİMER) üzerinden gerekse yazılı olarak ayni ve nakdi kişisel verilerinin başta Avrupa Birliği üyesi ülkeler olmak üzere diğer ülkelerin kurum ve kuruluşlarıyla paylaşılmamasını konu alan birçok başvuru intikal etmektedir. Kurumumuza intikal eden dilekçelerin bazılarında vatandaşların finansal hesap bilgilerinin yurt dışına aktarılmaması taleplerinin açıkça belirtildiği görülmekte olup bu nitelikteki dilekçelerin esas olarak ülkemizin de dahil olduğu Ekonomik Kalkınma ve İşbirliği Teşkilatı’na (OECD) üye ülkeler tarafından 3 Kasım 2011 tarihinde imzalanan ve 03.05.2017 tarihli ve 7018 sayılı Kanunla onaylanması uygun bulunan “Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesi” (Sözleşme) ile bu sözleşme kapsamında 2017 yılında imzalanan, 31.12.2019 tarihli ve 30995 sayılı Resmi Gazete’de yayımlanan “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması” (Anlaşma) sebebiyle gerçekleştirildiği anlaşılmıştır. Türkiye’de söz konusu Anlaşma kapsamında otomatik bilgi değişimi için bilgileri toplamaya ve paylaşmaya yetkili makam, Hazine ve Maliye Bakanlığına bağlı Gelir İdaresi Başkanlığı olarak belirlenmiş olduğundan bu nitelikteki dilekçeler ilgisi nedeniyle anılan Bakanlığa intikal ettirilmiştir.
  • Diğer taraftan, yurt dışında ikamet eden vatandaşların dilekçelerinin bazılarında ise herhangi bir ayrım yapılmaksızın genel olarak kişisel bilgilerinin yurt dışına aktarılmamasının talep edildiği görülmüştür.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında; ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin birinci fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na (Kurul) şikâyette bulunabileceği, ikinci fıkrasında ise 13 üncü madde uyarınca başvuru yolu tüketilmeden Kurula şikâyet yoluna başvurulamayacağı hükümleri yer almaktadır.

Kanunun 13 üncü maddesine dayanılarak hazırlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in (Tebliğ) “Başvuru Usulü” başlığını taşıyan 5 inci maddesinin birinci fıkrasında ise “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir” hükmüne yer verilerek başvuruda bulunması zorunlu unsurlar ad, soyadı, başvuru yazılı ise imza, T.C. Kimlik No., tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas e-posta adresi ve talep konusu olarak sayılmıştır.

Bu çerçevede, genel olarak kişisel verilerinin yurt dışına aktarılmaması taleplerini içeren bu nitelikteki dilekçeler hakkında ise, ilgili kişilere kişisel verilerin korunması konusundaki talepleri ile ilgili olarak hak arama yöntemlerini içeren Kanunun 13 ve 14 üncü maddeleri hakkında bilgi verilmiştir.

  • Ancak, mevcut durumda yurt dışında yaşayan Türkiye Cumhuriyeti vatandaşları tarafından benzer nitelikte çok sayıda dilekçenin Kurumumuza intikal etmesi sebebiyle konu Kişisel Verileri Koruma Kurulu tarafından değerlendirilmiş olup, alınan 07/07/2021 tarihli ve 693 sayılı Kurul Kararı ile;

–    İlgili kişiler tarafından Kurumumuza intikal eden ve kişisel verilerin yurt dışına aktarılmamasını konu edinen genel nitelikteki başvuruların, herhangi bir veri sorumlusuna işaret etmemesi, taleplerin soyut nitelikte olması ve bu kapsamda 6698 sayılı Kanunun 13 ve 14’üncü maddelerinde yer alan veri sorumlusuna başvuru şartının yerine getirilmemiş olması nedeniyle usulü şartları taşımadığı değerlendirilmiş olduğundan Kuruma intikal eden bu yöndeki başvuruların incelemeye alınamayacağına,

–    Öte yandan, ilgili kişiler tarafından Kurumumuza intikal eden ve “Otomatik Bilgi Paylaşımına” atıfta bulunulan başvurulara ilişkin olarak ise otomatik veri paylaşımına ilişkin hususların “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması”nda düzenlendiği ve Anlaşma hükümlerinin ülkemiz nezdinde uygulanması bakımından yetkili makamın Hazine ve Maliye Bakanlığı’na bağlı Gelir İdaresi Başkanlığı olduğu değerlendirildiğinden bu minvaldeki başvuruların esasen başvuru sahipleri tarafından ilgili Bakanlığa intikal ettirilmesi gerektiğinden hareketle söz konusu dilekçelere ilişkin olarak 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

Anılan Kurul Kararı çerçevesinde, Kurumumuza bugüne kadar intikal eden ve bundan sonra intikal edecek olan mezkur nitelikteki başvurular, Kurul Kararında yer verilen gerekçelerle değerlendirmeye alınmayacak olup başvuru sahiplerine de Kurumumuz tarafından ayrıca bir yanıt verilmeyeceği kamuoyuna saygıyla duyurulur. 

personel programı

Devamı: KVKK Kararı – Yurt Dışında Yaşayan T.C. Vatandaşlarının Kişisel Verilerinin Yurt Dışına Aktarılması Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

KVKK Kararı – Avukatların İcra Takip Dosyalarındaki Kişisel Verilere Vekaletname Olmaksızın Hukuka Aykırı Olarak Erişim Sağlaması

“Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağladığına ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılmasına ilişkin ihbarlar hakkında” Kişisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Karar Özeti

Karar Tarihi : 20/05/2021
Karar No : 2021/511-512-513
Konu Özeti : Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağlaması ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması.

Adalet Bakanlığı ve bir avukat hakkında Kuruma intikal ettirilen ihbarlarda özetle; alacaklı vekili avukatların, icra tevzi bürolarına başvuruda bulunup borçluların alacaklı olduğu icra takip dosyalarının bilgilerini haksız bir şekilde elde ettiği, ayrıca avukatların bu sayede, icra dairesinde diledikleri dosyaları da inceleyebildiği, her ne kadar avukatın dosyanın bir örneğini alması vekâlet sunmasına bağlı olsa da kişisel verilere yetkisiz kişilerin erişiminin engellenmesinin veri sorumlularına verilen görevlerden biri olduğu ve avukatlar ya da görevlendirdikleri kişiler tarafından, icra tevzi bürosu yetkilileri ve memurları aracılığıyla; borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak ele geçirilmesi ile avukatların icra dairelerindeki diledikleri dosyaları vekâletname olmaksızın incelemelerinin 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık teşkil ettiği belirtilerek; bu kapsamda icra tevzi bürosu çalışanları tarafından yapılan aktarımların ve avukatlar tarafından vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere erişimin 6698 sayılı Kanuna aykırı olduğunun tespit edilmesi, bu durumun düzeltilmesi için Adalet Bakanlığı nezdinde ivedilikle girişimlerde bulunulması ve gerekli idari yaptırımların uygulanması talep edilmiştir. Yapılan ihbarlara binaen Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu Adalet Bakanlığından konuya ilişkin bilgi ve belge talep edilmiş olup, alınan cevabi yazıda özetle;

  • İlgili mevzuat ve içtihat çerçevesinde, alacağını tahsil etmek isteyen alacaklı veya vekilinin takibin kesinleşmesini müteakip borçlunun alacaklı olduğu dosyalar da dâhil olmak üzere borçlunun her türlü mal varlığını, hak ve alacağını sorgulama hakkının 2004 sayılı İcra ve İflas Kanunundan kaynaklandığının anlaşıldığı;
  • Ayrıca avukatın veya stajyerlerinin dava takip dosyalarını vekâletname olmaksızın inceleme isteğinin ilgililerce yerine getirilmesinin 1136 sayılı Avukatlık Kanununda düzenlendiği; bu kapsamda avukatların ve stajyerlerinin alacağın tahsilini teminen borçlunun alacaklı olduğu dosyaları sorgulama ve kendilerine tanınan dosya inceleme hakkını icra dairelerinde tespit amacıyla bu işle görevlendirilen icra tevzi büroları vasıtası ile yapmasının uygun olacağının, icra dairesinde görevli personelin de vekâletname ibraz etmeksizin dosya incelemek isteyen avukat ve stajyerlerine bu isteklerini yerine getirmelerinin fotokopi ve benzeri yollarla örnek almamaları kaydı ile zorunlu olduğunun değerlendirildiği;
  • Bu itibarla avukat veya stajyerlerinin müvekkillerinin alacağına kavuşmasını sağlamak için borçluların alacaklı olduğu dosyaları tespit etmesi ve tespit ettiği dosyaları incelemesi hususunun kanunlarda açıkça öngörülmesi ve yukarıda izah edilen nedenlerle 6698 sayılı Kanuna aykırılık kapsamında bulunmayacağının değerlendirildiği

ifade edilmiştir.

Yine, başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup, alınan cevabi yazıda özetle; Avukatlık Kanununun 46 ncı maddesinin 2 inci fıkrasında yer alan “Avukat veya stajyer, vekaletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin ilgililerce yerine getirilmesi zorunludur.” hükmü sınırları kapsamında borçlunun alacaklı olduğu dosyaların tespit edildiği, bu dosyalara borçlunun alacaklı olduğu icra dosyalarından talepte bulunmak ve ilgili icra müdüründen karar aldırmak suretiyle haciz işlemi yapıldığı; bunun göreviyle ilgili bir iş olduğu; bu işlemlerin yapılmaması halinde işini gereği gibi yapmadığı için müvekkiline karşı sorumluluğun dahi gündeme geleceği ve bu kapsamda tüm işlemlerin yasalar çerçevesinde yürütüldüğü ifade edilmiştir.

personel programı

İhbar başvuruları ile veri sorumlularından alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kurulun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Kararları ile

  • 2004 sayılı İcra ve İflas Kanununun “Taşınır ve taşınmaz malların haczi” başlıklı 85 inci maddesinin birinci fıkrasının “Borçlunun kendi yedinde veya üçüncü şahısta olan taşınır mallariyle taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur. ” hükmünü amir olduğu; hükümde haciz yoluyla takip kapsamında borçlunun taşınır ve taşınmaz malları ile alacak ve haklarına haciz konulabileceğinin öngörüldüğü ve bu kapsamda, borçlunun alacaklı olduğu icra dosyalarına konu alacaklara da haciz konulmasının mümkün olduğu;
  • Diğer taraftan, 1136 sayılı Avukatlık Kanununun 46 ncı maddesinin,

“İşlerin stajiyer veya sekreterle takibi, dava dosyalarının incelenmesi ve dosyadan örnek alma:

Madde 46 – (Değişik : 2/5/2001 – 4667/32 md.)

Avukat, işlerini kendi sorumluluğu altındaki stajyeri veya yanında çalışan sekreteri eliyle de takip ettirebilir, fotokopi veya benzeri yollarla örnek aldırabilir. Avukatın onanmasını istemediği örnekler harca tabi değildir.

Avukat veya stajyer, vekaletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin ilgililerce yerine getirilmesi zorunludur. Vekaletname ibraz etmeyen avukata dosyadaki kağıt veya belgelerin örneği veya fotokopisi verilmez.” hükmünü,

2 nci maddesinin üçüncü fıkrasının ise,

“Avukatlığın amacı:

Madde 2 – (Değişik birinci fıkra : 2/5/2001 – 4667/2 md.) …

(Değişik üçüncü fıkra: 2/5/2001 – 4667/2 md.) Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.” hükmünü amir olduğu;

  • Anılan hükümlerden avukatların vekâletname sunmasına gerek olmaksızın icra takip dosyalarını inceleyebileceğinin ve ilgili makamların da avukatlara bu konuda gerekli imkanları sağlamakla yükümlü kılındığının anlaşıldığı;
  • Bununla birlikte, 2004 sayılı İcra ve İflas Kanununun 8/a maddesinin altıncı fıkrası ile 22.07.2020 tarihli ve 7251 sayılı Kanunla değişik 78 nci maddesinin birinci fıkrasının;

“Elektronik işlemler:

Madde 8/a – (Ek: 2/7/2012-6352/3 md.)

(Ek fıkra:6/12/2018-7155/10 md.) Alacaklı, Ulusal Yargı Ağı Bilişim Sistemi üzerinden bu sisteme entegre bilişim sistemleri vasıtasıyla dosya safahat bilgileri ile borçlunun mal, hak veya alacağını elli kuruş karşılığında sorgulayabilir. Bu miktar her yıl, bir önceki yıla ilişkin olarak 4/1/1961 tarihli ve 213 sayılı Vergi Usul Kanununun mükerrer 298 inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılır. Adalet Bakanlığı yeniden değerleme oranında artırılan ücreti beş katına kadar artırmaya ve azaltmaya ayrıca gün ve dosya esaslı olmak üzere belirli sayıdaki sorgulamayı ücretten istisna tutmaya yetkilidir. Genel yönetim kapsamındaki kamu idarelerinden bu ücret alınmayacağı gibi alacaklının bir gün içinde aynı dosya üzerinden beş kez yapacağı sorgudan da ücret alınmaz. Bu kapsamda alınacak ücret Adalet Bakanlığının belirleyeceği usule göre tahsil edilir ve takip gideri olarak borçluya yüklenemez.

II. HACİZ

Haciz:

1 – Talep Müddeti

Madde 78 – (Değişik: 3/7/1940-3890/1 md.)

(Değişik birinci fıkra:22/7/2020-7251/49 md.) Ödeme emrindeki müddet geçtikten ve borçlu itiraz etmiş ise itirazı kaldırıldıktan sonra mal beyanını beklemeksizin alacaklı, haciz konmasını isteyebilir. Ancak, alacaklı dilerse haciz talebinde bulunmaksızın Ulusal Yargı Ağı Bilişim Sistemi üzerinden, bu sisteme entegre bilişim sistemleri vasıtasıyla borçlunun mal, hak veya alacağını sorgulayabilir. Sorgulama sonunda Ulusal Yargı Ağı Bilişim Sistemi, varsa borçlunun mal, hak veya alacağının mahiyeti ve detayı hakkında bilgi verir ve bu durumda sistem üzerinden de haciz talep edilebilir. Bu takdirde icra dairesi, tespit edilen mal, hak veya alacağı elektronik ortamda haczeder. Sorgulama sonunda edinilen bilgiler hukuka aykırı olarak paylaşılamaz. Sorgulama ve haciz işlemlerinin yürütülebilmesi için kamu kurum veya kuruluşları ile 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 3 üncü maddesinde tanımlanan kredi kuruluşları ve finansal kuruluşlar, Ulusal Yargı Ağı Bilişim Sistemi ile kendi sistemleri arasında entegrasyonu sağlar. Sorgulamanın tür, kapsam ve sınırı ile diğer hususlar Adalet Bakanlığınca yürürlüğe konulan yönetmelikle belirlenir.””

şeklinde olduğu;

  • Söz konusu hükümler uyarınca alacaklı vekili avukatların, Ulusal Yargı Ağı Bilişim Sistemi üzerinden borçlunun alacaklı olduğu icra dosyaları dahil olmak üzere mal, hak veya alacağı hakkında sorgulama yapabileceği;

değerlendirmelerinden hareketle;

  • 2004 sayılı İcra ve İflas Kanununun 85 inci maddesi çerçevesinde borçlunun kendi veya üçüncü kişi nezdindeki alacaklarına haciz konulabileceği, 2004 sayılı Kanunun 8/a ve 78 nci maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla alacaklı tarafından borçluların mal, hak veya alacaklarının sorgulanabileceği, avukatların müvekkillerinin alacağını tahsil etmek amacıyla 1136 sayılı Avukatlık Kanununun 46 ncı maddesi uyarınca dava ve icra takibi dosyalarını vekâletname sunmaksızın inceleyebileceği ve bu kapsamda 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde düzenlenmiş işlemenin “kanunlarda açıkça öngörülmesi” şartına dayanılarak alacaklı vekili avukatlar tarafından borçlunun alacaklı olduğu icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden avukatların vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim sağladığı iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • 1136 sayılı Avukatlık Kanununun 2 nci maddesinde ilgili makamların avukatların görevlerini yapmak üzere ihtiyaç duyduğu bilgi ve belgeleri avukatların incelemesine sunmakla yükümlü olduğunun düzenleme altına alındığı ve bu kapsamda 6698 sayılı Kanunun 8 inci maddesinin üçüncü fıkrasında düzenlenmiş “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi uyarınca Adalet Bakanlığı tarafından icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu icra dosyaları hakkında bilgi ve belge sağlama amacıyla avukatlara görevlerini yerine getirebilmeleri için kişisel veri aktarımı yapılabileceğinden Adalet Bakanlığı tarafından alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

 

Devamı: KVKK Kararı – Avukatların İcra Takip Dosyalarındaki Kişisel Verilere Vekaletname Olmaksızın Hukuka Aykırı Olarak Erişim Sağlaması Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Bir Hastanenin Veri İhlali Bildirimi – Hekimin Hastalarına Ait Dosyaları Hastane Dışına Çıkarması

Karar Tarihi : 20/04/2021
Karar No : 2020/407
Konu Özeti : Bir hastanenin veri ihlali bildirimi

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği,
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
  • İhlalden; 789 hastanın etkilendiği,
  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği

ifadelerine yer verilmiştir.

personel programı

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,

  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği,
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu,
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı dikkate alındığında Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kararında yer alan “Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,…gerekir.” ifadesine aykırı olarak veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu,
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu
  • İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği hususunun Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kararında yer alan “… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
  • İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra  tespit edildiği hususlarının Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi” başlığı altında yer alan “Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.” ifadelerinde yer aldığı üzere; veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
  • İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin “Kişisel Veri Güvenliği Rehberi”nin “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır …” ifadelerine aykırı olarak hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

–    İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği,
–    İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL

olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,

İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Devamı: Bir Hastanenin Veri İhlali Bildirimi – Hekimin Hastalarına Ait Dosyaları Hastane Dışına Çıkarması Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Bir Kozmetik Şirketinin Veri İhlal Bildirimi – İnternet Sitesi Yedeklemesinde Kullanıcı Profillerinin Kopyasının Oluşması

Karar Tarihi : 25/03/2021
Karar No : 2021/311
Konu Özeti : Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
  • Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
  • Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,
  • Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu,
  • Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı,
  • Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği,
  • Bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu,
  • Ancak bu süreçte alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü

ifadelerine yer verilmiştir.

personel programı

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

  • Kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayı belirtilemediği ve oluşan hatanın kampanya sırasında ve yoğunluğun yüksek düzeyde olduğu dakikalarda olmasından ötürü bu kişilerin kişisel verilerin çok sayıda kişi tarafından görünmüş olabileceği,
  • Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı, açıklanan bu durumların Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında belirtilen “Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.” ifadelerine uygun düşmediği,
  • Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı
  • Yukarıda sayılan gerekçelerin veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediğinin göstergesi olduğu,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,

  • Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kuruma bildirimde bulunduğu,
  • Veri sorumlusu tarafından veri ihlaline ilişkin bildirim yapılması amacıyla ilgili kişilere e-posta gönderildiği, gönderilen e-postanın Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurları taşıdığı

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca, bu aşamada yapılacak bir işlem olmadığına

karar verilmiştir.

Devamı: Bir Kozmetik Şirketinin Veri İhlal Bildirimi – İnternet Sitesi Yedeklemesinde Kullanıcı Profillerinin Kopyasının Oluşması Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Banka Müşterisinin Verilerinin Üçüncü Kişiyle Paylaşımı

Karar Tarihi : 04/03/2021
Karar No : 2021/190
Konu Özeti : Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bir müşteri şikayeti üzerine Banka tarafından yapılan inceleme neticesinde, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini, Banka erişim ve bilgi güvenliği politikalarına, verilen sınıf içi ve çevrimiçi eğitimlere, Banka ile olan iş sözleşmelerine ve ilgili menüye erişmeden önce çıkan uyarı mesajına aykırı şekilde, söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşması suretiyle veri ihlali gerçekleştiği,
  • Söz konusu olayda Banka sistemleriyle ilgili herhangi bir güvenlik açığının bulunmadığı, ihlalin çalışanın münferit davranışlarından kaynaklı olduğu sonucuna varıldığı,
  • Veri ihlalinin, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini amacı dışında kullanmasından ve 1 (bir) müşterinin kimlik bilgilerini yetkisiz kişiyle paylaşmasından kaynaklandığı,
  • İhlal ile ilgili olan çalışanların Bilgi Güvenliği Farkındalığı Eğitimi ve Kişisel Verilerin İşlenmesi ve Korunmasında Temel Kavramlar Eğitimi aldığı

ifadelerine yer verilmiştir.

personel programı

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Kararı ile;

  • Bulunduğu görev pozisyonundan yararlanarak olaya konu Takım Lideri’nin şikayette bulunan ilgili kişinin bilgilerine erişebildiği ve yetkisini kötüye kullanabildiği, bu durumun veri sorumlusu tarafından verilen veri gizliliği ve güvenliği eğitimlerine rağmen söz konusu çalışanın rol ve sorumlulukları hakkındaki farkındalığının sağlanamadığı göz önünde bulundurulduğunda Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemelerine aykırılık teşkil ettiği,
  • Bankada Takım Lideri olarak çalışan personelin veri ihlali öncesinde müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yaparak görüntüleyebildikleri ve bu durumun çalışan personel tarafından müşterilerin kişisel verilerinin ihlaline sebebiyet verebilecek bir durum olduğu ve bu durumun Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” hususuna aykırılık teşkil ettiği,
  • Risk Merkezi verilerinin sorgulanmasına yönelik sorgulama yapılabilecek kayıt sayısı/kota belirleme işlemlerinin veri ihlalinden önce yapılmadığı, söz konusu ihlalden ancak yaklaşık iki yıl sonra çalışanlar için sorgulama kota limiti oluşturulduğu ve diğer müşteri sorgulamalarına kota oluşturulmasına yönelik çalışmalara halen devam edildiği,
  • Veri sorumlusu bünyesinde Çağrı Merkezi Takım Lideri olarak görev yapan çalışanların, müşterilerin rızası dışında, müşteri bilgilerine sınırsız sayıda sorgulama yaparak erişebildiği, söz konusu çalışanlar için gerekli ölçüde yetki verilmediği dikkate alındığında Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Siber Güvenliğin Sağlanması başlığı altındaki “… kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve … ilgili sistemlere erişim sağlanmalıdır.” tedbirlerine aykırılık teşkil ettiği,
  • Veri ihlali sonrasında, başka şube müşterisinin bilgilerini sorgulamak isteyen çalışanlara erişecekleri verileri iş ihtiyacı kapsamında ve görev tanımıyla uyumlu bir şekilde kullanabileceklerine dair uyarı sisteminin geliştirildiği, veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Devamı: Banka Müşterisinin Verilerinin Üçüncü Kişiyle Paylaşımı Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Bir Sigorta Şirketinin Veri İhlal Bildirimi – Sigorta Hizmetine Dâhil Olan Çalışanlarına Dair “Rapor” İletilmesi

Karar Tarihi : 04/03/2021
Karar No : 2021/187
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında karar

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin nasıl gerçekleştiği hakkında;
    • Bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dâhil olan çalışanlarına dair “Rapor” iletildiği,
    • Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle;
      • Sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile “Rapor” ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı,
      • Sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair “Rapor” dosyası gönderildiği,
      • “Raporu” seçen sorgunun hatalı çalışması” neticesinde, sistem kapsamında olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, yine sistem kapsamındaki 28 işveren şirkete, sistemsel olarak hatalı şekilde gönderildiği,
  • İhlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği,
  • İlgili dosyaya erişim sağlayan ve ihlali veri sorumlusuna bildiren firmanın telefon kanalı ile yapılan çağrı esnasında 19.02.2020 saat 09.55’te ihlal hakkında bilgi verdiği,
  • Bu firmaya da ihlalden etkilenen tüm firmalara olduğu gibi bilgilendirme yapıldığı ve sehven gönderilen bilgilerin silinmesi gerektiğinin tekrarlandığı,
  • İhlale konu yazılımın canlıya alınmadan önce test edildiği,
  • İhlalden etkilenen kişisel verilerin TCKN / Mavi Kart No,  Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu

ifadelerine yer verilmiştir.

personel programı

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/187 sayılı Kararı ile;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı veri işleyende meydana gelen sistemsel bir hata sonucu sorgunun hatalı çalışması nedeniyle emeklilik hizmeti kapsamında müşteri olan 31 işveren şirketin çalışanı olan 681 ilgili kişinin kişisel verilerini yine emeklilik kapsamında müşterilere gönderdiği (müşteri olan 28 işveren şirkete gönderilmiştir),
  • Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında yer alan “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği, ihlale konu olaydan önce tespitinin yapılamadığı,
  • İhlale konu olayın gerçekleşme tarihi (18.01.2018) ile tespit tarihi (19.02.2020) arasında yaklaşık 2 yıllık bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “…raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi…” ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğu

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,

  • İhlale sebep olan sistemdeki hatanın 18.01.2018 ve 19.02.2020 tarihleri arasında gerçekleştiği, 19.02.2020 tarihinde ilgili dosyaya erişim sağlayan Şirket tarafından veri sorumlusuna bilgi verilmesi sonucu ihlalden haberdar olunduğu, 21.02.2020 tarihinde Kurumumuza e-posta yoluyla veri ihlal bildiriminde bulunulduğu, ilgili yazının Kurum kayıtlarına 24.02.2020 tarihinde girdiği, bu açıdan veri sorumlusunun Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
  • İhlalden etkilenen ilgili kişilere 28.02.2020 tarihinde e-posta olarak bildirim yapılmaya başlandığı, e-posta bilgisi olmayan kişilere arama yapıldığı, görüşme yapılan tarih ve saatler ile bilgilendirme metin örneğinin tarafımıza gönderildiği

görülmekle birlikte, ilgili kişilere yapılacak bildirimin Kurulun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlardan ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hususlarında eksiklikler olduğu dikkate alındığında bundan sonra ilgili kişilere yapılacak bildirimlerde Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunulması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Devamı: Bir Sigorta Şirketinin Veri İhlal Bildirimi – Sigorta Hizmetine Dâhil Olan Çalışanlarına Dair “Rapor” İletilmesi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Bir Sigorta Şirketinin Veri İhlal Bildirimi – Dosyaları Hastane Dışına Çıkarmaya Teşebbüs

Karar Tarihi : 25/02/2021
Karar No : 2021/154
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
  • İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği,
  • İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu,
  • İhlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
  • Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği

ifadelerine yer verilmiştir.

personel programı

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/154 sayılı Kararı ile,

  • İhlalin eski çalışanın işinden ayrıldıktan sonra çalışmaya başladığı şirketin ilgili birimleri tarafından tespit edilip veri sorumlusuna bildirdiği,
  • İhlalden 544 müşteriye ait; kimlik, iletişim ve araç plaka numaralarının etkilendiği,
  • DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının “Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği,
  • Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımamasının “Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiği,
  • İhlale konu e-posta gönderimlerinin; kasım ve  aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada;  DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği,
  • İhlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı, bunun yanında eski çalışanın da içinde bulunduğu kullanıcılar grubuna bilgilendirmeler yapılmakla birlikte ilk bildirimde bilgilendirmede kişisel verilere ilişkin tanımlara yer verilip Kurumumuz internet sayfasında yer alan videoların bağlantısının paylaşıldığı, ikinci bilgilendirmede ise sadece ilgili kişilerin hak ve yükümlülüklerinin yer aldığı dikkate alındığında “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına

  • İhlalin; 24.12.2019 tarihinde tespit edildiği ve 27.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı dolayısıyla Kanun kapsamında yapılacak bir işlem olmadığına,
  • Öte yandan, veri sorumlusu tarafından bundan sonra ilgili kişilere yapılacak bildirimlerin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak yapılmasına dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

Devamı: Bir Sigorta Şirketinin Veri İhlal Bildirimi – Dosyaları Hastane Dışına Çıkarmaya Teşebbüs Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.