EMSAL KARARLAR
1)
Karar Tarihi : 07/11/2019
Karar No : 2019/332
Konu Özeti: Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında
Hastasının telefonuna reklam gönderen doktora 50 bin lira ceza
Adalet Bakanlığı bünyesinde hizmet veren Kişisel Verileri Koruma Kurulu (KVKK), kişisel verileri amacı dışında kullananlara ceza yağdırıyor.
Bir hastanın telefonuna rızasını almadan reklam içerikli SMS gönderen doktor, verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı gerekçesiyle 50 bin lira idari para cezasına çarptırıldı.
Bir doktor tarafından cep telefonuna reklam amaçlı mesaj atan doktoru KVKK’na şikayet etti. Cep telefonuna açık rızası olmaksızın reklam amaçlı mesaj göndermekle suçlanan doktor, Kurul’a şikayete dair cevap vermedi.
Kişisel Verileri Koruma Kurulu, emsal nitelikte bir karara imza attı. Kararda, “Kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği kanunlarda açıkça öngörülmüştür. İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurul soruşturma başlatmıştır. Veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya kanunda belirtilen diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmiştir. Veri sorumlusu hakkında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmıştır. Veri sorumlusu doktora 50 bin TL idari para cezası uygulanmasına karar verilmiştir.” denildi.
2)
Karar Tarihi : 01/10/2019
Karar No : 2019/294
Konu Özeti : Havayolu şirketinin veri ihlali hakkında
Havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin
kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden kimlik teyidi maksadıyla
arkalı önlü kimlik görüntüsü talep edilmiştir.
Bu talebin yanında ilgili kişi ayrıca veri sorumlusuna başvuru yaparak kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebinde bulunmuştur.
Kurul, kimlik teyidi maksadıyla istenen arkalı önlü kimlik görüntüsü ilgili olarak, talebin kişisel veri
işlemeye ilişkin genel ilkelerden “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine
uygun olmadığı ve özel nitelikli kişisel verilerin işlenmesi maddesine de aykırı olduğuna karar
vermiştir.
Bu şekilde davranan veri sorumlusunun gerekli teknik ve idari tedbirleri almamış olduğu
sonucunun çıkarılacağını belirtmiştir. İlgili kişinin kimlik görüntülerinin silinmesi talebine ise
verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri
sorumlusunun hukuka ve dürüstlük kuralına uygun bir yanıt vermediği değerlendirmesinde
bulunmuştur.
Bu nedenlerle Kurul
*Veri sorumlusu olarak veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle
100.000 TL idari para cezası verilmesine,
*Verilerin silindiğine ilişkin bilgilerin ilgili kişiye verilmesi silindiğine dair tevsik edici belgelerinde
Kurula iletilmesi konusunda veri sorumlusunun talimatlandırılmasına,
*Kimlik teyidi konusunda Kanun hükümlerinin dikkate alması konusunda veri sorumlusunun
Talimatlandırılmasına karar vermiştir.