25.01.2018 tarih ve 30312 sayılı Resmi Gazete’de, Kişisel Verileri Koruma Kurulu’nun iki ilke kararı yayımlanmıştır. Söz konusu kararlar Kurul’un yayımladığı ilk ilke kararları olma özelliğini taşımaktadır.
İlk olarak 21/12/2017 tarih ve 2017/62 sayılı kararda; özellikle banko, gişe ve masa gibi müşteriye hizmet sunulan alanlarda yaşanan problemlere ilişkin kuruma ulaşan şikayetler değerlendirilmiştir. Kurul, başta bankacılık ve sağlık sektörleri olmak üzere yaygın olarak görülen ve birden fazla çalışan ile bitişik düzende müşteriye hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik hizmetlerinin yapıldığı kuruluşlar gibi özel ve kamu kurum ve kuruluşlarının kişisel verilerin korunması konusunda gerekli teknik ve idari tedbirleri alması gerektiğini vurgulamıştır. Kararda Kurul tarafından belirtilen iki uyarı ön plana çıkmaktadır:
1) Banko, gişe, masa gibi bölümlerde yetkisi olmayan kişilerin yer almaması gerekmektedir.
2) Aynı anda birbirlerine bitişik veya yakın şekilde hizmet alan müşterilerin birbirlerinin kişisel verilerini duymasını, görmesini veya ele geçirmesini engelleyecek biçimde tedbirlerin alınması gerekmektedir.
Kurul’un yukarıda yer verilen ilke kararında; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesi uyarınca yayımlanmış olan söz konusu karara uymayan kuruluşlar hakkında Kanun’un 18. maddesi kapsamında işlem yapılacağı da belirtilmiştir. Bilindiği üzere 6698 sayılı Kanun’un “Kabahatler” başlıklı 18. maddesinin 1-c fıkrasında Kanun’un 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı öngörülmüştür. Buna göre Kurul, değinilen şekilde davranmayan veri sorumluları hakkında 1 milyon TL’ye varan cezalar uygulayabilecektir. Anılan kararda herhangi bir sektör kısıtlamasına yer verilmemiş olduğu için benzer şekilde hizmet veren tüm sektörler bakımından ilke kararının geçerli olduğu ve bu nedenle anılan yükümlülüklere uygun şekilde işleyişi sağlamak için bir hazırlık yapılması gerektiği açık diyebiliriz.
21/12/2017 tarih ve 2017/62 sayılı diğer kararda ise kişilerin açık rızası olmadan bazı internet sitelerinde telefon numarasından isim bilgisine veya isim bilgisinden telefon numarasına ulaşıldığına dair şikayetler değerlendirilmiştir. Kurul, kanuni dayanağı olmayan böyle bir paylaşımı yapan internet sitelerinin ve mobil uygulamaların derhal faaliyetlerini durdurmaması halinde 6698 sayılı Kanun’un 15. maddesi çerçevesinde idari yaptırım uygulanacağını ve de TCK kapsamında kişisel verilerin hukuka aykırı olarak ele geçirilmesi faaliyeti dolayısıyla savcılığa ihbarda bulunacağını belirtmiştir.