Kişisel Verileri Koruma Kurumu'nun Üç Yeni Kararı Yayınlandı

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Kişisel Verileri Koruma Kurumu ("Kurum") 3 Temmuz 2019'da üç adet yeni karar yayımladı. Yayımladığı kararlarla Kurum, veri ihlali durumlarında izleyeceği yolla ilgili sektöre ışık tutmuş oldu.
Turkey Privacy

Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum") 3 Temmuz 2019'da üç adet yeni karar yayımladı. Yayımladığı kararlarla Kurum, veri ihlali durumlarında izleyeceği yolla ilgili sektöre ışık tutmuş oldu.

Kararlarda Neler Var?

Kurum'un ilk kararı taşımacılık ve ulaşım sektöründe olan bir şirkete ilişkin olarak verildi. Kararda veri ihlali nedeniyle Türkiye'de yerleşik 67,519 kişinin kişisel verilerine ulaşıldığı belirtildi. İhlal sonucu yetkisiz ulaşım sağlanan kişisel veriler arasında cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi, cep telefonu numarası, e-posta adresi, ödeme anahtarı ve ulaşım bilgileri bulunmakta. Kurum ihlalin iki ay boyunca devam etmesinin veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğunu ve yetkisiz kişi veya kişilerin Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğuna karar vermiştir. Sonuç olarak şirket hakkında gerekli teknik ve idari ve tedbirler alınmadığı için 450.000 TL ve ihlal 21 Kasım 2019 tarihinde öğrenilmiş olmasına rağmen bildirim 25 Şubat 2019 tarihinde yapıldığı için 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kurumun ikinci kararında ise bir otel zincirinin müşteri verilerini barındıran sistemlerde meydana gelen veri ihlali ele alınmıştır. Veri ihlali neticesinde müşteri isimleri, e-posta adresleri ve telefon numaraları, doğum tarihleri, kredi kartı ve güvenlik numaraları dört yıl boyunca yetkisiz erişime maruz kalmıştır. Yetkisiz erişimin dört yıl sürmesi nedeniyle Kurum, sistemlerde çok ciddi bir güvenlik açığının olduğu ve bu nedenle gerekli teknik ve idari tedbirlerin alınmadığına kanaat getirmiştir. Kurum bu tedbirlerin yerine getirilmemesi sebebiyle 1.100.000 TL ve bildirimin ihlal 8 Ağustos 2018 tarihinde öğrenilmesine rağmen 3 Aralık 2019 tarihinde yapılması sebebiyle en kısa sürede bildirim yükümlülüğüne aykırılık gerekçesiyle 350.000 TL idari para cezasına hükmetmiştir.

Kurum'un üçüncü kararı da bir havayolu şirketinde yaşanan ve şirketin müşteri sadakat sistemi verilerinin bulunduğu sisteme ilişkin veri ihlalini konu almaktadır. Veri ihlaline konu kişisel veriler müşterilerin ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, "frequent flyer" üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri gibi bilgilerden oluşmaktadır. Havayolu şirketinin ihlale konu şüpheli hareketlerden haberdar olmasından iki ay sonra ihlali tespit etmiş olması Kurum tarafından gerekli teknik ve idari tedbirlerin alınmadığı yönünde değerlendirilmiştir. Bu sebeple de havayolu şirketi 450.000 TL idari para cezasına çarptırılmıştır. Aynı olaydaki bir diğer ihlal konusu da Kurum tarafından bildirim ile ihlal arasında yaklaşık yedi ay olması sebebiyle en kısa sürede bildirim yükümlülüğünün ihlali ve bu doğrultuda 100.000 TL idari para cezası uygulanması olmuştur.

Sonuç

Kurum'un bu üç yeni kararı, kişisel veri ihlallerinin pratikte Kurum'ca nasıl değerlendirileceğine dair ışık tutmaktadır. Kararlardan anlaşıldığı üzere Kurum, veri ihlalinin gerçekleşme anı ile ihlalinden veri sorumlusunun söz konusu veri ihlalini tespit etmesi arasında geçen sürenin Kurum'ca belirtilen süreden fazla oluşunu gerekli teknik ve idari tedbirlerin alınmaması olarak değerlendirmektedir. Bu kararlar ışığında, veri ihlalinin gerçekleşme anı ile ihlalinden veri sorumlusunun söz konusu veri ihlalini tespit etmesi arasında geçen iki aylık süre Kurum tarafından gerekli teknik ve idari tedbirlerin alınmadığı değerlendirmesine yol açmış ve 450.000 ile 1.100.000 TL arasında değişen idari para cezalarının uygulanmasına sebep olmuştur. Buna ek olarak, söz konusu kararlar göstermektedir ki Kurum "en kısa zaman" ifadesinin 72 saat olarak anlaşılması gerektiği yorumunu uygulamakta ve bu süreyi aşan bildirimlere idari para cezasını uygulamaktadır. Kurum'un kararlarında aynı nitelikteki mevzuata aykırılıklara verilen idari para cezası meblağlarının değişiklik gösterdiği; Kurum'un ihlalleri değerlendirirken birden fazla unsuru dikkate aldığı ve cezaların da bu unsurlara göre değişiklik gösterebildiği görülmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More