Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, söz konusu metin 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Kanun’da öngörülen geçiş süresi ise 7 Nisan 2018 tarihinde sona ermiş, Kişisel Verilerin Korunması Kanunu hayatımızın ayrılmaz bir parçası haline gelmiştir. Kanunun 1. maddesinde Kanunun amacı açık bir şekilde belirtilmiştir. Bu hükme göre amaç, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun 2. maddesinde, Kanunun kapsamı belirtilmiştir. Bu maddeye göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Kanun ile kişisel verilerin işlenmesinde uyulması gerekli usul ve esaslara ilişkin olarak veri sorumlularına bir takım yükümlülükler getirilmiş, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar ise Kanun’un 18. maddesinde düzenlenmiştir. İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanabilmektedir.
Bu kapsamda; aydınlatma yükümlülüğünün yerine getirilmemesi halinde, 5.000 Türk Lirasından 100.000 Türk Lirasına; veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000 Türk Lirasından 1.000.000 Türk Lirasına; Kişisel Verileri Koruma Kurulu kararlarının yerine getirilmemesi halinde 25.000,00 Türk Lirasından 1.000.000,00 Türk Lirasına; Veri Sorumluları Sicili’ne kayıt yükümlülüğünün yerine getirilmemesi halinde 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanması mümkün olabilecektir.
Kurum söz konusu yetkiye dayanarak, birçok idari yaptırım kararına imza atmış, söz konusu kararlardan banko ve gişeler hakkında kararı ile numara sorgulama uygulamalarına ilişkin kararını Resmi Gazetede yayımlamıştır.
Kurum ayrıca uygulamış olduğu idari yaptırım kararlarından sekizini internet sitesinde yayımlayarak, uygulamacılara da yön göstermeyi amaçlamıştır. Kurum’un sadece bir kısmını yayımladığı kararlar Kanun’un uygulanmasında yön göstermek için kısmen faydalı olmakla birlikte, kararların tamamının yayımlanmamış olması Kurul kararlarının sektör bazında değerlendirilmesine imkan vermemektedir. Kurum’un bir kısmını yayımlamış olduğu idari yaptırım kararları aşağıdaki şekildedir;
Kişisel Veri Güvenliği İhlalinin Geç Bildirimi
Kanun’un 12. maddesi gereğince kişisel veri sorumlusunun yükümlülüklerinden biri de kişisel veri güvenliğinin ihlali halinde bu durumun ilgilisine ve Kurula bildirilmesi yükümlülüğüdür. Kanun’da bildirimin “en kısa sürede” yapılması gerektiği düzenlenmiş ancak bu hususta kesin bir süre öngörülmemiştir.
Kanun’da kesin bir süre belirtilmemiş olması, bildirimin yapıldığı sürenin makul olup olmadığının, veri ihlalinin niteliği, yöntemi vb. somut olayın özelliklerine göre değerlendirilmesi sonucunu doğurmaktadır. Kurul, önüne gelen bir olayda ilgili kişilere 17, Kurul’a ise 10 aylık gecikme ile bildirim yapılmasını ihlal olarak kabul etmiştir. Kurul’un kararının yayımlanan bölümü aşağıdaki şekildedir;
“İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının; Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.”
Kurul her ne kadar kararın sadece bir kısmını yayımlamış olsa da daha sonrasında yapılan ihlal bildirimi ile karara konu ihlalin Araç çağırma hizmeti sunmak üzere Türkiye’deki faaliyetlerini Careem Networks Teknoloji A.Ş. aracılığıyla yürüten Dubai merkezli Careem Inc. (Şirket) unvanlı şirkette gerçekleştiği kamuya duyurulmuştur.
İhlal bildirimi yapan Carem Inc tarafından, Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018 tarihinde yetkisiz üçüncü kişilerce erişim sağlandığı, (yapılan inceleme sonucunda konuya ilişkin tespitlerin 21.03.2018 tarihinde ortaya çıktığı,) Şirket tarafından adli bilişim incelemesi başlatıldığı ve önde gelen bir siber güvenlik şirketinin konu ile ilgili görevlendirildiği, Söz konusu yetkisiz erişimden Türkiye’de mukim 103.337 müşteri ile 900 araç sürücüsünün etkilendiği, Yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin isim, telefon numarası, kredi kartı bilgisi, e posta adresi, kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası, araç modeli, plaka numarası, yolculuk özeti, uluslararası banka hesap numarası, T.C. kimlik numarası ve ehliyet numarası bilgilerinin olabileceği hususunda Kurum’a bildirim yapılmıştır.
Açık Rızanın Hizmet Şartına Bağlanması
Kişisel Verilerin Korunması Kanunu’nun gereğince kural olarak kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi mümkün değildir. Kişisel verilerin açık rıza olmaksızın işlenebileceği istisnai haller ise genel nitelikli kişisel veriler için 5/2; özel nitelikli kişisel veriler için ise 6/3 maddelerinde düzenlenmiştir.
Kanun’un sistematiğinden ve lafzından, kişisel verilerin işlenmesi için açık rızanın kural olarak arandığı anlaşılmaktaysa da, Kurum’un aşağıda bir kısmını yayımladığı kararı ile, açık rızanın diğer istisnalar ile birlikte değerlendirilmesi gerektiği, istisnanın mevcut olduğu hallerde ayrıca açık rıza alınmasının mümkün olmadığı anlaşılmaktadır.
Kanun’un sistematiğine aykırı olduğu görüşünde olduğumuz bu karar gereğince, veri sorumlularının ilgili kişilerden açık rıza almadan önce, somut olayın özelliklerini daha dikkatle incelemesi, özellikle genel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği istisnai hallerin mevcut olması halinde ayrıca ilgili kişiden açık rıza almamaya dikkat etmesi gerekmektedir. Kurul’un kararının yayımlanan bölümü aşağıdaki şekildedir;
“Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;
- Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,
- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,
dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.”
İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)
Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar Avrupa Birliği Direktifine paralel şekilde düzenlenmiş olup buna göre kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi gereğince, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmalıdır. Bu ilke kapsamında dikkat edilmesi gereken husus, kişisel veri işlerken sadece amacı gerçekleştirmeye yönelik olarak yeterli verinin işlenmesi, veri işlemenin amacı gerçekleştirecek ancak aşmayacak ölçüde kalmasıdır. Kurul, kişisel veri işlenmesinde ölçülülük ilkesine aykırı davranılmasını, kişisel veri güvenliğinin ihlali sayarak idari yaptırım uygulanmasına karar vermiştir. Kararın Kurum tarafından yayımlanan bölümü aşağıdaki şekildedir;
“Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;
- Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,
- Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,
dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.”
Kurul tarafından sadece bir kısmı yayımlanan kararda, sektör ve somut olaya ilişkin detaylar yer almamakla birlikte; karar, görülen bir davada mahkemenin, ilgili kişiye ücret iadesi yapılıp yapılmadığına dair bankadan bilgi talep etmesine istinaden, ilgili banka tarafından mahkemece talep edilen bilgi yerine ilgili kişinin 6 aylık tüm kredi kartı ekstrelerinin gönderilmesi olayına ilişkindir. Bankanın gerekenden fazla bilgi göndermesi üzerine ilgili kişi bankayı Kurum’a şikayet etmiş, şikayeti değerlendiren Kurul, yukarıda alıntılanan gerekçe ile veri sorumlusu banka hakkında 30.000.-TL idari para cezasının uygulanmasına karar vermiştir.
Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi
Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde kişisel verisi işlenen gerçek kişilere, veri sorumlusuna başvuru hakkı tanınmış olup, bu kapsamda ilgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.
Veri sorumlusu ilgili kişi tarafından yapılacak usulüne uygun başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. Kanun’un 13/2 maddesi gereğince Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün sonuçlandırmak zorundadır.
Kurul önüne gelen bir olayda, ilgili kişinin başvurusuna 30 gün içinde cevap verilmemesi nedeni ile veri sorumlusunu ilgili kişiye 30 gün içinde cevap verilmesi hususunda talimatlandırılmasına, ilgili kişiye bu sürede cevap verilmemesi halinde veri sorumlusu hakkında idari yaptırım uygulanacağına karar vermiştir. Kararın yayımlanan bölümü aşağıdaki şekildedir;
“İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;
Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.”
İlgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu kapsamda veri sorumlusu, Kişisel veri saklama ve imha politikası oluşturarak, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları belirlemek ile yükümlüdür. Ayrıca, Kanunun 16. maddesi uyarınca da veri sorumlusu, sicile kayıt başvurusu ile birlikte kişisel verilerin işlenme amacı için gerekli azami süreyi de bildirmek zorundadır.
Kanuna uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Veri sorumlusu, kişisel verileri sakladığı süre boyunca, saklama amacına uygun şekilde verileri kullanmalı, amaca aykırılık oluşturacak veri işleme faaliyetlerinden kaçınmalıdır.
Kurul önüne gelen olayda, aktif olmayan müşterinin kişisel verilerinin, mevzuat gereğince saklama yükümlülüğü dışında bir amaçla işlenmemesi yönünde veri sorumlusunun talimatlandırılmasına karar verdi. Kararın yayımlanan kısmı aşağıdaki şekildedir;
“Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;
Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.”
Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
Kanunun 12. maddesinin 1. fıkrasına göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kanunun 12. maddesinin 3. Fıkrasında ise veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmiştir.
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde, Kanun 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası öngörmektedir.
Bu yükümlülükler kapsamında, veri sorumlusu kişisel veri güvenliğinin sağlanması ve kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, personele ve yöneticilere düzenli olarak eğitimler vermeli, ayrıca kişisel veri işleme süreçlerine dahil olan çalışanlardan, iş süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istemeli, çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin süreci yürütmelidir.
Veri sorumlusunun, veri işleme süreçlerine dahil olan kişisel verilere kullanıcı bazında erişim sınırlandırması yapılması, kullanıcıların ancak yürüttükleri iş süreçleri ile ilgili olan kişisel verilere erişim yetkisine sahip olması, veri güvenliği için önem arz etmektedir.
Kurul, önüne gelen bir olayda, veri sorumlusunun kişisel verilerin korunmasında sistematik olarak gerekli idari ve teknik güvenlik önlemlerini alıp almadığını değerlendirmiş, veri sorumlusunun çalışanın kendi kişisel amaçları için müşteri verilerine ulaşmasını, veri güvenliği ihlali olarak değerlendirerek, veri sorumlusu hakkında idari işlem tesis edilmesine karar vermiştir. Kararın yayımlanan kısmı aşağıdaki şekildedir;
“a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;
Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.
Kanun’da Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi
Yukarıda da yer verildiği üzere, Kanun, Avrupa Birliği Drektifi ile paralel olarak, kişisel verilerin işlenmesinde temel ilkeleri belirlemiş, tüm veri işleme faaliyetlerinde söz konusu ilkelere riayet edilmesini zorunlu kılmıştır. Amacın gerçekleşmesinde faydasız olan kişisel verilerin toplanması ve işlenmesi ya da ileride ihtiyaç olma ihtimaline binaen kişisel veri toplanması, hem dürüstlük kurallarına hem de belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil etmektedir.
Temel ilkeler gereğince sadece verinin işlenmesi sırasında amaç için gerekli olan verilerin toplanması, ileride amacın değişmesi ve yeni bir amaç ile kişisel veri toplama ihtiyacının doğması halinde, bu durum kişisel veri işleme şartları dahilinde yeniden değerlendirilmelidir.
Kurul önüne gelen olayda, amaç için gerekli olmayan kişisel verilerin ilgili kişiden istenmesinin temel ilkelere aykırılık teşkil ettiğini ve bu durumun veri güvenliğini ihlal ettiğine karar vermiştir. Kararın yayımlanan bölümü aşağıdaki şekildedir;
“Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;
- İlgili mevzuatta yer almaması
- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle
Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.”
Kanun’a Aykırı Şekilde Kişisel Verilerin Paylaşılması
Kanun kişisel verilerin işlenmesi ve bu verilerin yurt içinde paylaşılmasında aynı şartları aramakta olup, bu kapsamda kişisel ilgili kişinin rızasının olması veya açık rızanın istisnalarından birinin bulunması halinde kişisel verilerin yurtiçinde paylaşılması mümkündür.
Kişisel verilerin yurtiçinde paylaşılması sırasında da veri sorumlusu, kişisel veri güvenliği için gerekli tüm idari ve teknik tedbirleri almakla yükümlüdür. Kurul’un önüne gelen olayda, kişisel veri işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin ev adresi bilgisinin üçüncü kişiler ile paylaşılması veri güvenliği ihlali olarak görülmüş ve veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir. Kararın ilgili bölümü aşağıdaki şekildedir;
“Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.”
Yukarıda yer verilen kararlar, uygulamacılar için yön gösterici olmakla birlikte, kararların sadece bir kısmının yayımlanması, kararların somut olayın özelliklerine göre yorumlanmasına imkan tanımamaktadır. Tüm kamu ve özel kuruluşlar ile gerçek ve tüzel kişileri yakından ilgilendiren Kişisel Verilerin Korunması Kanunu’na uyum süreçlerinin yürütülmesinde, Kurul’un tüm kararlarının kamuya açılmasının önem arz etmekte olduğu düşünülmektedir.
Av. Duygu Kesler
