1) KİŞİSEL VERİLERİ KORUMA KURULUNUN 18/09/2019 TARİHLİ FACEBOOK KARARI
Kişisel Verileri Koruma Kurulu; 18/09/2019 tarih, 2019/269 sayılı kararında, Facebook aleyhine toplam 1.600.000 TL idari para cezasının uygulanmasına karar vermiştir. Kurul, Kişisel Verileri Koruma Kanununun 12. maddesinin 1. fıkrasının ihlali sebebiyle 1.150.000 TL, 12. maddesinin 5. fıkrasının ihlali sebebiyle 450.000 TL idari para cezasının uygulanmasına karar vermiştir.
Kanunun 12. maddesinin 1. fıkrası uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanunun 5. fıkrası uyarınca ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Veri ihlalinin; Facebook’un birbirinden farklı özellikleri olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyici”nin teknik hatalarından kaynaklandığı belirtilmiştir. Kurul, kararda Facebook’un;
1- Bu tip hataların test aşamasında tespit edilerek düzeltilmesi gerektiğinden teknik ve idari tedbirleri almakta kusurlu olduğu,
2- İlgili zafiyetin yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu,
3- İlgili zafiyetten kaynaklı olarak ihlalin 13 gün boyunca devam ettiği göz önüne alındığında ihlale zamanında müdahale edilmediği, bu sebeple Kişisel Verileri Koruma Kanununun 12. maddesinin ihlal edildiği tespitlerinde bulunmuştur.
Kurul ayrıca gerekli bilgilendirmenin yapılmaması sebebiyle 12. maddenin 5. fıkrasının ihlal edildiği tespitinde bulunmuştur. Kararda toplam 280.959 kullanıcının ihlalden etkilendiği, bunlardan 133.510 kullanıcının temel profil bilgilerine ulaşıldığı, 143.974 kullanıcının temel profil bilgilerine ek olarak cinsiyeti, ilişki durumu, dini, memleketi, konumu, eğitim geçmişi, doğum günü, son zamanlarda bulunduğunu bildirdiği yerler gibi bilgilerine ulaşılmış olunabileceği belirtilmiştir.
2) KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/08/2019 TARİHLİ S ŞANS OYUNLARI A.Ş. KARARI
Kişisel Verileri Koruma Kurulu; 27/08/2019 tarihli, 2019/254 sayılı kararında, S Şans Oyunları A.Ş. aleyhine toplam 180.000 TL idari para cezası uygulanmasına karar vermiştir. Kişisel Verileri Koruma Kanununun 12. maddesinin 1. fıkrasının ihlali sebebiyle 150.000 TL, 12. maddesinin 5. fıkrasının ihlali sebebiyle ise 30.000 TL idari para cezasının uygulanmasına karar verilmiştir.
Kanunun 12. maddesinin 1. fıkrası uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanunun 5. fıkrası uyarınca ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
S Şans Oyunları A.Ş. tarafından Kurum’a yapılan bildirimlerde; bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde yer aldığı, veri ihlalinin gerçekleşme tarihinin bilinmediği, ihlalden etkilenen kişi sayısının belirlenemediği belirtilmiştir.
Kurul, kararda;
1- İhlalin gerçekleştiği tarihin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
2- Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
3- Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanmadığının göstergesi olduğu,
4- Şirketin veri ihlaliyle ilgili olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu tespitlerinde bulunmuştur.
Kurul tarafından Kişisel Verileri Koruma Kanununun; 12. maddesinin 1. fıkrasının ihlali sebebiyle 18. maddesinin 1. fıkrasının (b) bendi uyarınca 150.000 TL, 12. maddesinin 5. fıkrasının ihlali sebebiyle 18. maddesinin 1. fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
3) KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/08/2019 TARİHLİ BİR TURİZM ŞİRKETİ HAKKINDA KARARI
Kişisel Verileri Koruma Kurulu; 27/08/2019 tarihli, 2019/255 sayılı kararında, turizm şirketi aleyhine toplam 500.000 TL idari para cezası uygulanmasına karar vermiştir.
Kanunun 12. maddesinin 1. fıkrası uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 12. maddenin 3. fıkrası uyarınca veri sorumlusu, kendi kurum ve kuruluşunda, Kanun hükümlerini uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 12. maddenin 5. fıkrası uyarınca; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
Şirket yetkilileri ve bilgi işlem uzmanlarının yaptığı incelemeler sonucu şirketin LAN ağı üzerinden çalışan ağına sızılarak veri ihlalinin gerçekleştirildiği anlaşılmıştır. Personellerin ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri; müşterilerin ülke/eyalet, uyruk, doğum tarihi, ad, soyad, telefon numarası, e-posta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi, vergi numarası, TC kimlik numarası, pasaport numarası, cinsiyet gibi verileri ihlal edilmiştir. Etkilenen veriler arasında özel nitelikli kişisel veri bulunmadığı anlaşılmıştır.
Kurul, kararda;
1- Bir çalışan bilgisayarına şirket çalışanı olmayan yetkisiz kişilerce erişilebilmesinin idari tedbirsizlik olduğu,
2- Sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında aksaklık teşkil ettiği,
3- İhlal gerçekleştikten sonra güvenlik duvarının yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
4- Çalışanların daha önce güvenlik eğitimi almadıkları anlaşılıp bu durumun idari bir eksikliğin göstergesi olduğu,
5- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının şirket IT sistemleri tarafından fark edilmemesinin bir teknik eksiklik olduğu,
6- Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
7- Olayı Bilgi İşlem Birimine şirketin diğer birimlerinde çalışanların bildirmesinin, Bilgi İşlem Biriminin düzgün çalışmadığı ve işlemediğinin göstergesi olduğu tespitlerinde bulunmuştur.
Kişisel Verileri Koruma Kanununun 18. maddesinin 1. fıkrasının (b) bendi uyarınca; 12. maddesinin 1. ve 3. fıkralarının ihlali sebebiyle 400.000 TL, 12. maddesinin 5. fıkrasının ihlali sebebiyle 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
4) KİŞİSEL VERİLERİ KORUMA KURULUNUN 23/07/2019 TARİHLİ YURTDIŞINDA YERLEŞİK TÜZEL KİŞİLERİN TÜRKİYE’DEKİ ŞUBELERİ İLE İRTİBAT BÜROLARININ SİCİLE KAYIT YÜKÜMLÜLÜĞÜ HAKKINDA KARARI
Kişisel Verileri Koruma Kurumundan; yurtdışında yerleşik tüzel kişiler, yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve irtibat bürolarının veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi talep edilmiştir.
Kanuna göre veri sorumlusu gerçek veya tüzel kişi olabilir. Veri sorumlusunun tespiti için kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği dikkate alınabilecektir.
a) Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından:
Avrupa Birliği Genel Veri Koruma Tüzüğü’ne göre; Avrupa Birliği’nde bulunan şubenin / irtibat bürosunun kendisinin veri işleyip işlemediği önemli değildir. Yabancı şirket, AB’de bulunan şubesinin / irtibat bürosunun faaliyetleri çerçevesinde veri işleme gerçekleştirdiği takdirde GDPR hükümlerine tabi olmaktadır. AB’de bulunan işletme ile AB dışında bulunan veri sorumlusunun, veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde, AB dışında bulunan veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varılmaktadır. Her ne kadar Sicile kayıt yükümlülüğü için 6698 sayılı Kanuna göre veri sorumlusu sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de kişisel verileri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağı değerlendirilmektedir.
b) Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları açısından:
Yapılan değerlendirmeler sonucunda;
1- Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
2- Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurtdışında yerleşik tüzel kişiden ayrı olarak veri sorumlusu olarak değerlendirileceğine, bu durumda yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine,
3- İrtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda çalışmalar yürütme, birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarını yakından takip etme ve merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı dikkate alındığında irtibat bürolarının Sicile kayıt yükümlülüğü bulunmadığına karar verilmiştir.
5) KİŞİSEL VERİLERİ KORUMA KURULUNUN VERİ SORUMLUSU TARAFINDAN İLGİLİ KİŞİYE YAPILAN VERİ İHLALİ BİLDİRİMİNDE YER ALMASI GEREKEN ASGARİ UNSURLARA İLİŞKİN 18/09/2019 TARİH VE 2019/271 SAYILI KARARI
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.
Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.
Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
– İhlalinin ne zaman gerçekleştiği,
– Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
– Kişisel veri ihlalinin olası sonuçları,
– Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
– İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerektiğine karar verilmiştir.