İngiliz Veri Koruma Otoritesi (ICO), Londra merkezli bir ilaç şirketi olan Doorstep Dispensaree Ltd.’ye fiziksel ortamda saklanan özel nitelikli kişisel verilerin güvenliğini sağlayamadığı gerekçesiyle 275 bin sterlin para cezası verdi.
Yapılan incelemede Doorstep Dispensaree Ltd.’nin, yaklaşık 500 bin belgeyi kilitlenmemiş dolaplarda muhafaza ettiği tespit edildi. Söz konusu belgelerin isim, adres, doğum tarihi, sağlık bilgileri, ilaç reçeteleri ve sağlık numaralarını içermekte olduğu belirtildi. Ayrıca Haziran 2016 ila Haziran 2018 arasındaki kayıtları içeren belgelerin yeterli önlem alınmadığı için su sebebiyle hasara uğradığı tespit edildi. Bilindiği üzere kişisel verilerin yetkisiz veya hukuka aykırı bir şekilde işlenmesi, kaza ve hasarlara karşı uygun fiziksel güvenlik tebdirlerinin alınmaması GDPR’a ve aynı zamanda ülkemizdeki 6698 sayılı Kanun’a aykırılık teşkil etmektedir.
Bunlara ek olarak ICO, ihlalin büyüklüğü nedeniyle şirkete üç ay içerisinde veri koruma uygulamalarını iyileştirmesi gerektiği yönünde bildirimde bulundu. Söz konusu düzenlemelerin yapılmaması durumunda şirketin daha fazla yaptırım ile karşılaşabileceği belirtildi. Bu ceza, 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR uyarınca ICO tarafından verilen ilk ceza olması bakımından önem arz etmektedir.
Söz konusu karar, kişisel verilerin yalnızca elektronik ortamda değil fiziksel ortamlarda da dış risklere (yangın, sel vb.) karşı güvenliğinin sağlanmasının önemli olduğunu göstermektedir.