Kişisel veri ihlaline yapan kurumlara yüz binlerce lira ceza geldi
Kişisel Verileri Koruma Kurulu, kişisel veri ihlaline yapan kurum ve kuruluşlara yüz binlerce liralık para cezaları kesti. Cep telefonuna izinsiz mesaj gönderen şirketten öğrencisinin sınav sonucunu izinsiz paylaşan üniversiteye kadar onlarca kuruma ceza yağdı.
Kişisel Verileri Koruma Kurulu, kişisel veri ihlaline yapan kurum ve kuruluşlara yüz binlerce liralık para cezaları kesti. Cep telefonuna izinsiz mesaj gönderen şirketten öğrencisinin sınav sonucunu izinsiz paylaşan üniversiteye kadar onlarca kuruma ceza yağdı.
Kişisel Verileri Koruma Kurulu (KVKK), son üç ayda emsal olacak bir dizi karar yayınladı. Kurulun internet sitesinde duyurulan kararlarla, kişisel verileri ihlal eden kurum ve kuruluşlara toplam 195 bin TL idari para cezası kesildi.
Kurul"un aldığı kararlar şöyle sıralandı:
GOOGLE"A GMAİL UYARISI
Kurul, Google"a ait Gmail e-posta hizmeti altyapısının kullanılması durumunda, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz maddesi gereği, kişinin açık rızasının alınmasına karar verdi. Kurul, sunucuları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de kullanılması durumunda ilgili kişinin açık rızasının şart olduğunu duyurdu.
AYNI İÇERİĞİ GÖNDERME CEZASI
Kurul, ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesini, gönderici şirketin sahip olduğu hakkı kötüye kullanımı olarak değerlendirerek ilgili firmaya 20 bin TL idari para cezası kesti.
İZİNSİZ REKLAMA 125 BİN TL CEZA
Kurul, izinsiz reklam içerikli mesaj gönderen şirkete, herhangi bir işleme şartına dayanmadığı gerekçesiyle 50 bin TL idari para cezası uyguladı. Kurul bir başka şirkete de, eski bir çalışanının cep telefonu numarasını herhangi bir veri işleme şartına dayanmadan işlemesi ve reklam/bilgilendirme amaçlı aramada kullanması nedeniyle 75 bin TL para cezasına çarptırdı.
YANLIŞ İÇERİK GÖNDERİMİ
Kurul, şikayetçi kişinin cep telefonuna, kendisine ait olmayan içerik gönderen veri sorumlusuna da 50 bin TL idarı ceza kesti.
PARMAK İZİ CEZA GETİRDİ
Kurul, spor salonu hizmeti sunan şirketlerin, üyelerinin giriş-çıkış kontrolünde el-avuç okutma sisteminde kullanılan verilerin, biyometrik ve genetik veriler olduğuna, Avrupa Genel Veri Koruma Tüzüğü"ne (GDPR) referansla, özel nitelikli kişisel veri olarak belirlendiğine karar verdi. Bu noktada parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin biyometrik yöntem olarak kabul edildiğini hatırlatan kurul, spor kulübü üyelerinin açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıklarını dikkate alarak, bahsi geçen kulüplere idari para cezası verdi. Kurul ayrıca, üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı gerekçesiyle de veri sorumlusuna idari para cezası verdi.
Karar uyarınca spor kulüplerine, giriş çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlamaları, biyometrik veri ile giriş çıkış işlemleri yapılması ve biyometrik veri işlemenin ivedilikle durdurulması hususunda talimat verildi. Spor kulüplerinden ayrıca, bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin ivedilikle yok etmeleri, ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere de ivedilikle bildirimini gerçekleştirmeleri konusunda uyarıldı.
SINAV SONUCU ÖZEL VERİ SAYILIYOR
Kurul, veri sorumlusu olan üniversiteye, üniversite içerisinde sınava girmiş kişilerin sınav sonuçlarının alenen duyurulduğu sistemin kullanılmaması, sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde talimat verdi.
"BAKIŞ AÇIMIZI DEĞİŞTİRMELİYİZ"
KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Başkanı Sinem Cantürk, kişisel verilerin korunması konusunun, tüm sektörlerde ve süreçlerde bakış açımızı değiştirmemizi gerektirdiğini vurguladı. Cantürk, "Eskiden müşterilerimizin verilerine ‘kendi" verilerimiz gibi davranırdık, ama bu verilerin ‘bizim" olmadığını, sadece belirli bir amaç için bize verildiğini ve o amacın dışına çıkmamamız gerektiğini kabul etmeliyiz” dedi.
Cantürk, "Kişisel veriler konusunda bakış açımızı radikal şekilde değiştirmeliyiz ve bu konuyu ‘kişisel" bir hak olarak görmeliyiz. Ama bu değişimin zaman alacağını şimdiden kabul etmemiz gerekli" ifadelerini kullandı.
(İHA)