kvkk ilke kararları

Rehberlik hizmeti veren internet sitelerinde/uygulamalarda kişisel verilerin korunmasına yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 tarihli ve 2017/61 sayılı İlke Kararı

Karar ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamındadır. 

Yapılan değerlendirme sonucunda;

Kanunun 3’üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6’ıncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin derhal durdurulması gerektiği,

Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı sonucuna varılmıştır. 

Sonuç; 

İlgili ilke kararı Resmi Gazete’de yayınlanmış, kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136’ıncı maddesi çerçevesinde ilgili internet siteleri/ uygulamalar hakkında gerekli hukuki işlemlerin tesis edileceği de belirtilmiştir. Bu uygulamalardaki verilerin 6698 sayılı KVKK’ya uyumlu şekilde elde edilmesi gerekmektedir. Kişilerin açık rızalarının alınması, uygulamalar hakkında hukuki yaptırım başlatılmaması adına büyük önem taşımaktadır. Bu tarz uygulamalarda kişisel veriler toplanırken kanunun 5.maddesindeki , ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olduğu durumlara ve 6.maddesindeki özel nitelikli kişisel verilerin işlenme şartlarına dikkat edilmesi gerekir. 

Banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunmasına yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 tarihli ve 2017/62 sayılı İlke Kararı

Kurulun ilke kararı; Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamındadır. 

Yapılan değerlendirme sonucunda; 

Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren ‘posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının’, 6698 sayılı (KVKK) Kişisel Verilerin Korunması Kanununun (Kanun) 12’inci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına karar verilmiştir. 

Sonuç; 

Özellikle ‘bitişik düzende hizmet veren kurum ve kuruluşların’ veri ihlallerinin gerçekleşmemesi için daha büyük özen göstermesi gerekmektedir. Yetkisi olmayan kişilerin kişisel verileri duyması, görmesi ve ele geçirmesi son dönemde çok sık rastlanan veri ihlallerindendir. Bu kurum ve kuruluşların gerekli Teknik ve idari tedbirleri alması, kurumsal politikalarında veri güvenliğine önem vermeleri, çalışanlara özellikle kişisel verilerin korunması hakkında farkındalık eğitimleri düzenlemeleri kurum tarafından idari yaptırımların uygulanmaması adına çok önemlidir. 

İlgili ilke kararlarının tamamına ulaşmak için ; 

7a2f2dc1-b656-4325-9249-73e350c3ea57.pdf (kvkk.gov.tr)


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >