Duyurumuz, Kişisel Verileri Koruma Kurumu tarafından 20 Nisan 2018 tarihinde yayımlanan özet Kurul kararları hakkındadır.
İdari Yaptırım Uygulanması Yönündeki Kararlar:
Şirket çalışanlarına e-posta yolu ile gönderilen iletilerde, veri sorumlusu tarafından, işverenin adresi bölümüne şirket adresi yazılması gerekirken, şirket adına yetkili kişinin ev adresinin yazılması sebebiyle ihlalin gerçekleştiğine ve veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
İlgili kişinin talebine istinaden yapılan işlem kapsamında, veri sorumlusu tarafından, müşteriden işlem bakımından zaruri olmayan kişisel verilerin istenilmesinin, söz konusu talebin mevzuatta öngörülmüş olmadığı ve ulaşılmak istenen amaç ile bağdaşmadığı gerekçeleri ile işbu işlemenin aykırılık teşkil ettiğine kanaat getirilerek söz konusu veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
Veri sorumlusu tarafından müşterinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir şahısa gönderilmesi sonucu, söz konusu veri sorumlusu aleyhine kişisel veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınmadığı gerekçesiyle idari yaptırım uygulanmasına karar verilmiştir.
Veri sorumlusunun çalışanının, müşterinin herhangi bir talebi olmamasına karşın, müşterinin kşisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle, veri sorumlusu hakkında idari yaptırım kararı verilmiştir.
Mahkemece, veri sorumlusundan ilgili kişi hakkında bazı kişisel veriler talep edilmiş olup; söz konusu talep kapsamında, veri sorumlusu tarafından Mahkemeye sunulan kişisel verilerin, Mahkeme tarafından istenen verilerden daha kapsamlı olması sonucu, veri minimizasyonu ilkesine aykırılık sebebi ile veri sorumlusu aleyhine idari yaptırım uygulanmasına karar verilmiştir.
Hizmetin sağlanması için açık rıza kapsamında verilecek onayın zaruri kılınmasının; açık rızanın hizmet şartına bağlanmasının, açık rızayı sakatlayacağı ve veri sorumlusunca hakkın kötüye kullanımı anlamına geleceği gerekçeleri ile ihlalin gerçekleştiğine kanaat getirilmiş olup; veri sorumlusu hakında idari yaptırım uygulanmasına karar verilmiştir.
Gerçekleşen ihlalin, veri sorumlusu tarafından ilgili kişilere 17 ay, Kurula ise 10 aylık gecikme ile bildirilmesi, Kanunda öngörülen “en kısa süre” ifadesini aşan bir mühlet olarak değerlendirilmiş ve veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
Veri Sorumlusunun Talimatlandırılması Yönündeki Kararlar:
Halihazırda aktif olmayan müşteri tarafından, kişisel verilerinin silinmesi doğrultusunda bir talepte bulunulmasına rağmen, söz konusu talep veri sorumlusu tarafından yerine getirilmemiştir.
Veri sorumlusunun tabi olduğu mevzuat çerçevesinde, işlediği kişisel verileri 10 yıl süre ile muhafaza etme zorunluluğu bulunmasına karşın; halihazırda aktif olmayan bir müşterinin verilerinin saklanması Kanunun 4. maddesinde öngörülen ilkeler ile bağdaşmadığından, veri sorumlusunun bu husus hakkında talimatlandırılmasına karar verilmiştir.
İlgili kişinin Kanun çerçevesinde kendisine tanınan haklar kapsamında veri sorumlusuna başvuruda bulunmasına rağmen veri sorumlusunun belirlenen süre içerisinde ilgili kişiye cevap vermemesi üzerine, Kurul tarafından veri sorumlusunun, kararın tebliğinden itibaren 30 gün içerisinde ilgili kişiye cevap vermesi, aksi takdirde Kanunun 18. maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda talimatlandırılmasına karar verilmiştir.
İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.
|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |