Kişisel Verileri Koruma Kurumunun internet sitesinde 18.02.2019 tarihli duyuru ile üç yeni karar yayımlandı.
1) “Sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı
Karara konu olan olayda; doktor kontrolünde ilaç kullanan bir kişinin sağlık verisi, ilaçlarını temin ettiği eczane tarafından üçüncü bir kişiyle paylaşılmıştır. Bunun üzerine Kurul’a yapılan şikâyet kapsamında eczane tarafından üçüncü kişiyle yapılan bu paylaşım, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında bir aktarım faaliyeti kabul edilmiştir. Ancak Kanun’un 8. maddesinde düzenlenen özel nitelikli verilerin hukuka uygun olarak aktarılmasına ilişkin şartların somut olayda mevcut olmadığı tespit edilmiştir. Bu sebeple veri sorumlusu eczane hakkında idari para cezası uygulanmıştır.
Kanun’un 12. maddesinin 4. fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı belirtilmiştir. Bu doğrultuda Kurul tarafından yapılan değerlendirmede söz konusu hükme aykırılık tespit edilmiştir. Daha önce yayımlanan bir karar özetinde ise ilgili kişiye ait bir sağlık raporunun, internet ve sosyal mecralarda paylaşılmasını engelleyecek tedbirleri almadığı gerekçesiyle, Kurul tarafından bir veri sorumlusuna idari para cezası verildiği belirtilmişti. Dolayısıyla bu kararlar, sağlık verilerinin hukuka aykırı olarak üçüncü kişilerle paylaşılmaması için veri sorumlularının gerekli idari ve teknik tedbirleri alması gerektiğini önemle hatırlatmaktadır. Ayrıca bu karar; kişisel verilerin korunması bakımından gerekli yükümlülüklerin yalnızca büyük ölçekli kuruluşların değil, Kanun kapsamında veri işleme faaliyeti yürüten bütün gerçek ve tüzel kişilerin gündeminde olması gerektiğini göstermektedir.
2) “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı
Bu kararda, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan bir kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesine ilişkin bir şikâyet ele alınmıştır. Söz konusu kişi sonrasında Şirkete başvuruda bulunarak; kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmiştir. Ancak aldığı yetersiz cevap üzerine Kurul’a başvuruda bulunmuştur. Kurul tarafından yapılan incelemede iki husus ön plana çıkmıştır.
Öncelikle internet sitesindeki sistemsel hata sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır. Şirket tarafından Kanun’un 12. maddesinin 1. fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı tespit edilmiştir. Ancak güvenlik açığının niteliğine ve veri sorumlusu tarafından alınan tedbirlere ilişkin kararda herhangi bir bilgi verilmemiştir.
Bununla birlikte, ilgili kişi tarafından kişisel verilerinin imha edilmesine ilişkin veri sorumlusuna yapılan başvuru da Kurul tarafından değerlendirilmiştir. Bu doğrultuda veri sorumlusunun ilgili kişiye Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını belgeleriyle birlikte 30 gün içinde iletmesine karar verilmiştir.
Kurul tarafından verilen bu karar; özellikle internet sitesi aracılığıyla müşterilere ait kişisel verileri işleyen veri sorumluları açısından bir uyarı niteliği taşımaktadır. Nitekim Kurul kararına benzer şekilde yakın zamanda Fransa Ulusal Bilişim ve Özgürlükler Komisyonu (CNIL) tarafından verilen bir kararda; internet sitesindeki kimlik doğrulama mekanizmasındaki güvenlik açığı sebebiyle Bouygues Telecom şirketine 250.000 avro para cezası uygulanmıştı. Özellikle şirketin site güvenliğine yönelik ek tedbirler almaması sebebiyle güvenlik açığının tespit edilemediği belirtilmişti.
3) “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı
Kurul’un bu kararında ise son dönemde Avrupa Birliği Adalet Divanı başta olmak üzere birçok mahkeme ve veri koruma otoritesinin kararlarına konu olan unutulma hakkı kapsamında değerlendirebilecek bir başvuru ele alınmıştır. Kararda; devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan bir şikâyet incelenmiştir. Kurul tarafından yapılan değerlendirmede ilk olarak başvuru kapsamındaki kişisel verilerin saklama sürelerini belirleyen çeşitli mevzuatlara alıntı yapılmıştır. Bu kapsamda, imha edilmesi talep edilen kişisel bilgilerin son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı tespit edilerek; kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmadığı belirtilmiştir. Dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından reddedilmesinin uygun olduğuna karar verilerek; veri sorumlusu hakkında herhangi bir ceza uygulanmamıştır.
Kurul tarafından daha önce verilen bir kararda da, bir veri sorumlusunun hali hazırda aktif olmayan bir müşterisine ait kişisel verileri silmediği yönündeki şikayet incelenmiştir. Ancak veri sorumlusunun tabi olduğu mevzuat uyarınca söz konusu verileri muhafaza etmesi zorunluluğu bulunduğundan benzer şekilde şikâyet reddedilerek veri sorumlusu hakkında herhangi bir ceza uygulanmamıştır.