1.Belediyeler Tarafından Sunulan İnternet Hizmetlerine İlişkin Karar
Kişisel Verileri Koruma Kurulu’nun 25.02.2021 tarih ve 2021/140 sayılı Kararına konu somut olayda; belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Kişisel Verileri Koruma Kurulu’nun işbu Kararında kısaca;
- Bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kişiler Verileri Koruma Kanunu’na aykırı olduğu ve;
- Yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi gerektiği ifade edilmiş
Bu kapsamda belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.
İlgili karar metnine buradan ulaşabilirsiniz.
2. İlgili Kişinin Kişisel Verilerinin Site Yönetim Hizmetini Sağlayan Veri Sorumlusu Şirket Tarafından Bir Mobil Uygulama ile Hukuka Aykırı Olarak Paylaşılması Hakkında Karar
Kişisel Verileri Koruma Kurulu’nun 13.04.2021 tarih ve 2021/359 sayılı Kararına konu somut olayda; başvurucu oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiğini belirtmiştir.
Yönetim Hizmeti Sunan Şirket savunmasında İlgili kişinin ikamet ettiği Sitenin Temsilciler Kurulu ile Şirketleri arasında hizmet sözleşmesinin bulunduğu, mezkur sözleşme kapsamında yükümlülüklerinin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde bir takım görevlerinin olduğu, dolayısıyla Şirketlerinin, bir yönetim firması olduğu ve yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu ifade edilmiştir.
Şikayet konusu Uygulama Hizmetini Sunan Şirket ise savunmasında Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu Şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu sıfatını haiz olmadığı, sağlanan bulut hizmetinin kapsamı gereği veri işleyen sıfatını haiz olduklarını, İlgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranması durumunun söz konusu olmadığı, böyle bir rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün Yönetim Hizmeti Sunan Şirkete ait olduğunu ileri sürmüştür.
Bu bilgiler ışığında Kişisel Verileri Koruma Kurulu’nun işbu Kararında kısaca;
- Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak
Yönetim Hizmeti Sunan Şirket hakkında Kişisel Verileri Koruma Kanunu’nun 18. maddesinin 1. fıkrasının b bendine aykırı davrandığı gerekçesiyle 100.000 Türk Lirası idari para cezası uygulanmasına kara verilmiştir.
İlgili Karar metnine buradan ulaşabilirsiniz.
3. Bir Sigorta Şirketi Tarafından Hizmetin Açık Rıza Şartına Bağlanması Hakkındaki İhbar” ile İlgili Karar
Kişisel Verileri Koruma Kurulu’nun 20.04.2020 tarih ve 2021/389 sayılı Kararına konu somut olayda; başvurucu bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapılamadığını ileri sürmüştür.
Sigorta Şirketi savunmasında İnternet sayfası üzerinden müşterinin kim olduğunun anlaşılması, kimlik doğrulamasının yapılabilmesi, tazminat taleplerinin alınabilmesi, poliçe/sözleşme ve teminatlarının kontrolü, hasar takibi, müşteri talebi doğrultusunda ya da otomatik olarak müşteriye e-posta ile bilgilendirme yapılması amaçlarına yönelik müşterilere ait kişisel veri ve özel nitelikli kişisel verilerin işlenebildiği, bu kişisel verilerin ise kimlik numarası, telefon numarası, doğum tarihi, baba adı, kişiye ait sağlık bilgileri, sağlık hizmeti faturaları ve buna bağlı sağlık harcama bedeli talepleri, e-posta adresi olarak sıralanabileceği ve bu verilerin Kanunun 5 inci maddesinin birinci fıkrası uyarınca, ilgili kişinin açık rızası olması halinde ve yine anılan maddenin ikinci fıkrasına göre açık rızanın aranmayacağı tahdidi olarak belirtilen hallerde Kanuna uygun olarak işlendiğini ifade etmiştir.
Sigorta Şirketi tarafından ayrıca uygulama girişinde ilgililere aydınlatma metni iletildiği, sağlık verileri başta olmak üzere yukarıda belirtilmiş olan kişisel verilerin işlenmesi söz konusu olabileceğinden, bir kez sisteme bağlanan bir kullanıcının, web üzerinden sunulmakta olan başka hizmet(ler)i de almak isteyebileceğinin önceden öngörülmesi mümkün olmadığından, açık rıza talep edilmesi gerektiğinin düşünüldüğünü belirtilmiştir.
Kişisel Veriler Kurulu kararını aydınlatma metninin mevzuata uygunluğu ve açık rızanın hizmet şartına bağlanıp bağlanmadığına ilişkin 2 başlık olarak ele almıştır. Bu kapsamda Kurul tarafından söz Kararda kısaca;
- Sigorta şirketinin internet sitesinde yer alan Gizlilik ve Kişisel Verilerin Korunması Esasları metni ile aydınlatma metninin birebir aynı olduğu; işbu aydınlatma metinlerinde veri işleme sebebi olarak Kanunda düzenlenen 5. veya 6. maddelerden hangisine veya hangilerine dayanıldığına ilişkin bir bilgilendirmede bulunulmadığının anlaşıldığı;
- kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmediği ve ayrıca metinde yer alan kurum ve kuruluşların isimlerinin de güncellenmediğinin anlaşıldığı; tek bir kutucuk işaretlendiğinde ilgili kişinin hem aydınlatma metnine hem de kişisel verilerinin işlenmesine onay verdiği, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendine göre, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin hüküm altına alındığı;
- ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı, dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını iç içe geçmiş belirsiz bir biçimde kullandığının görüldüğü;
- Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı
ifade edilmiş olup;
- Veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına
- Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve;
- Aydınlatma metninde muğlak ifadelerin engellenecek şekilde düzenlenmesine karar verilmiştir.
İlgili Karar metnine buradan ulaşabilirsiniz.
4. Bir Hastanenin Veri İhlali Bildirimine İlişkin Karar
Kişisel Verileri Koruma Kurulu’nun 20.04.2021 tarih ve 2021/407 sayılı Kararına konu somut olayda; Veri sorumlusu bir hastane tarafından Kurula veri ihlal bildiriminde bulunulmuştur. Bildirimde kısaca;
- Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği ve ihlalin dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
- İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler ve hasta dosyası anamnez içeriği ile birlikte ve 789 hastanın etkilendiği,
- Hekimin bir hastasının hastaneye gelmesi üzerine, tedavi geçmişinin hekim tarafından alındığı bilgisinin kendisine verildiği ve İhlalin gerçekleşmesinden önce ihlal ile ilgili çalışanlardan (eski çalışan dahil 9 kişi) biri hariç hepsinin kişisel verilerin korunması eğitimi aldığı ve
- ihlalin kuruma 25 gün sonra geç bildirmesinin sebebi olarak ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalandığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği hususlarına rağmen kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği ve bu bağlamda hastane içi işlemlerin gerçekleştirildiği ifade edilmiştir.
Bu kapsamda Kurul’un 2021/407 sayılı kararında kısaca;
- Kamera kayıtlarının kontrolünün sağlanmadığı, hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girebildiği ve başhekimliğin izni olmadan hastalara ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların arşivden çıkartılabildiği hususlarının veri güvenliğinin sağlanmasını temin etmeye yönelik fiziksel ortamların güvenliğini sağlayacak idari tedbirlerin yeterli ölçüde alınmadığının göstergesi olduğu;
- İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği;
- İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı ve İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği gerekçeleriyle Hastane hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası ile birlikte;
- İhlalin 25 gün sonra bildirilmesi nedeniyle Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde 150.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili Karar metnine buradan ulaşabilirsiniz.