Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 21.06.2021 tarihinde 3 adet yeni kurul karar özeti yayınlanmıştır.

1)“Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme” hakkında Kişisel Verileri Koruma Kurulu’nun 27/04/2021 tarihli ve 2021/426 sayılı Karar Özeti: Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından resen inceleme  başlatılmıştır. 

Kurul tarafından verilen kararda özetle;

Teknik ve idari tedbirler ile ilgili olarak;

  • Yardım masası panelinin, yazılım firmasından hizmet alan veri sorumlularının kullanıcı adı ve şifreleriyle giriş yapıp yardım taleplerini ilettikleri bir platform olduğu, söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının veri sorumlusu sıfatını haiz olduğu, 
  • Veri ihlalinden 13 farklı veri sorumlusunun, 950’den fazla sayıda çalışanına ve müşterisine ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
  • Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, 
  • Bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği,
  • Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığı

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak (ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği) Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 300.000 TL idari para cezasının uygulanmasına,


Kurum’a ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • Veri ihlaliyle ilgili Kurul’a bildirim yapılmadığı dikkate alındığında Kanun’un kapsamında Kurul’un 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen  72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanun uyarınca, 100.000TL idari para cezasının uygulanmasına,

  Kurum’a yönelik bilgi ve belge gönderimi hakkında;

  • Bir kamu tüzel kişiliğine haiz veri sorumlusunun, söz konusu olay dahilinde kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurum’a herhangi bir cevap vermediği, 
  • Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olayın suç niteliği taşıması nedeniyle Kurum tarafından resen incelemeye ilişkin karar verilemeyeceği, zira olayın yargı organları tarafından değerlendirilmesi gerektiğini iddia ettiği ve Kurum’a bir takım bilgi ve belge göndermiş olmakla birlikte; Kurul’un, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi Kurum’a göndermemiş olduğu

hususları dikkate alındığında Kanun’da yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü çerçevesinde veri sorumluların Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına karar verilmiştir.

2) “Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Karar Özeti: Bir e-ticaret sitesindeki veri sorumlusu sıfatındaki partner firmanın, e-ticaret sitesindeki müşteri hizmetleri paneli üzerinden üçüncü kişiler konumundaki firmaların bilgilerine erişmesiyle yapmış olduğu ihbar kapsamında konuya ilişkin olarak Kurul tarafından resen inceleme başlatılmıştır.

Partner Firmanın yapmış olduğu ihbar bildiriminin ve veri sorumlusu yazılarının incelenmesi neticesinde Kurul tarafından verilen kararda özetle;

 Teknik ve idari tedbirler ile ilgili olarak;

  • Veri sorumlusu  tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ve erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda bahsi geçen “Gizlilik Sözleşmesi” öncesinde “veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişimin meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı,
  • İhlalin veri sorumlusu tarafından kendi tedarikçisi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığının göstergesi olduğu

hususları dikkate alındığında Kanun kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanun uyarınca, 600.000 TL idari para cezası uygulanmasına,

Kurum’a ve ilgili kişilere yapılan bildirim ile ilgili olarak:

Veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak erişilmesi dolayısıyla, Firma nezdinde erişimi gerçekleştirenler yönünden yürütülen cezai soruşturmaya konu fiil ile veri sorumlusunun veri güvenliğini sağlamaya ilişkin gerekli her türlü teknik tedbiri almaması nedeniyle oluşan veri ihlalini Kurul’a bildirme yükümlülüğünün farklı fiiller olduğu, ihlalin 22.10.2019 tarihinde gerçekleşmesi ve 22.10.2019 tarihinde tespit edilmiş olmasına rağmen 

  • Veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmadığı, 
  • Kurul’a ihlal bildiriminde bulunulmadığı 

hususları dikkate alındığında Kanun kapsamında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanun uyarınca 200.000 TL idari para cezası uygulanmasına 

Kurum’un bilgi belge talep yazısına cevap verilmediği dikkate alındığında, Kanun’a uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

3) “İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı Karar Özeti: Kurum’a intikal eden şikayette özetle; kişinin kendisine işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin tarafına iletilmesinin veri sorumlusu Şirketten talep edildiği,  veri sorumlusu tarafından verilen cevapta ise istenilen bilginin sağlanması için kimliği doğrulayacak ilave bilgiler talep edildiği, bunun üzerine dilekçe ve kimlik görüntüsünün veri sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu şirketin gönderdiği e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik önlemi alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer alan cep telefonu numarasının aranması gerektiğinin belirtildiği,  getirilen bu ilave güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin engellendiği ve hesap hareketlerinin Kanun’a uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmektedir.

Kurul tarafından verilen kararda özetle;

  • Kanun kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı; erişim hakkının bilgi talep etme hakkını tamamlayarak ilgili kişinin kişisel verileri üzerindeki haklarını kullanabilmesi için kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkan sağladığı,
  • Kanun gereğince veri sorumlusunun; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, veri sorumlusunun ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; ayrıca, Kişisel Veri Güvenliği Rehberi’nde (Teknik ve İdari Tedbirler) Kanun’un 12’nci maddesi kapsamında veri güvenliğini sağlamak amacıyla veri sorumlusunun temin etmesi gereken teknik ve idari tedbirlere ilişkin başlıca yöntemlerin bölümler halinde açıklandığı, hangi önlemlerin alınması gerektiği konusunda ise Rehber’de belirtildiği üzere öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, 
  • Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin, üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı; veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiği,
  • Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kullanımındaki yemek kartının hesap hareketleri ve yükleme bilgilerine ilişkin kişisel verileri içeren dosyanın ilgili kişi tarafından belirtilen ve alt yapısı yurt dışında olan “gmail” hesabına e-posta aracılığıyla gönderileceği için bu verileri içeren dosyanın şifrelenerek gönderilmesi ile veri güvenliğinin üst düzeyde sağlanmasının amaçlandığının ifade edildiği; Kurul’un 31/05/2019 tarihli ve 2019/157 sayılı Kararında belirtildiği üzere, Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının söz konusu olacağı; bu doğrultuda, Kanun gereğince kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü altında olan veri sorumlusunun aldığı ilave güvenlik önleminin ilgili kişinin iddia ettiği üzere Kanun’a aykırılık değil, Kanunun titizlikle uygulanması olduğu değerlendirmelerinden hareketle;
  • İlgili kişinin Kanun’da belirtilen “Kişisel verileri işlenmişse buna ilişkin bilgi talep etme” hakkı doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine Kanun gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Yukarıda yer alan karar özetleri KVKK’nın web sitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/6984/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri adresi üzerinden ulaşabilirsiniz.

Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: