Kasım ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun ("Kurum") bazı belediyelerin internet üzerinden sunduğu sorgulama hizmetine ilişkin kamuoyu duyurusu, bir mağazanın sebebiyet verdiği veri ihlali ve bir hastanenin personelinin e-nabız sistemine izinsiz erişimde bulunması hakkında verilen kararları oldu.

Kasım ayında ülkemizde ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:

Duyuru — Belediyelerin vergi borcu sorgulama ve borç ödeme sistemlerine ilişkin kamuoyu duyurusu

Kurum, 5 Kasım 2021 tarihinde, vergi borcu ödeme ve sorgulama sistemlerinde tek faktörlü doğrulama yöntemini uygulayan belediyeler ile ilgili bir kamuoyu duyurusu yayımladı.

Kişisel Verileri Koruma Kurulu ("Kurul"), 25 Şubat 2021 tarihli kararında, bazı belediyelerin; üyelik, şifre girme veya çift faktörlü doğrulama yöntemi kullanmaksızın, kişilerin borç bilgilerine erişim imkanı sağlamasının, kişisel verilere hukuka aykırı erişilmesini önlemek yükümlülüğüne aykırı olduğunu tespit etmişti. Bu doğrultuda, Kurum; tüm büyükşehir, il, ilçe ve belde belediyelerine 9 Nisan 2021 tarihinde gönderdiği yazı ile kanuna aykırı veri işleme faaliyetlerinin 3 ay içinde durdurulmasını talep etmişti.

Duyuruda, kolayca erişilebilen kimlik numarası veya doğum tarihi gibi veriler aracılığıyla yapılan kimlik doğrulamanın tek kademeli olduğu ve bunlar yerine, kişiye özel şifre veya SMS kodu gibi çift faktörlü doğrulama yöntemlerin tercih edilmesi gerektiği vurgulandı. Kurum, incelemesinde özellikle belediyelerin kimlik doğrulama amacıyla ikinci aşamada talep ettiği bilginin kişiye özel ve yalnızca ilgili kişinin erişebileceği nitelikte olup olmadığına odaklandı. Yapılan inceleme neticesinde, 3 aylık sürenin geçmesine rağmen tek faktörlü doğrulama sistemi kullanan belediyeler hakkında disiplin hükümlerinin uygulanmasına ve ilgili belediyelerin Kurul'u bilgilendirmesine karar verildi.

Duyuru metnine buradan ulaşabilirsiniz.

Karar — Hastane çalışanının e-nabız sistemine izinsiz erişimi hakkında karar

İlgili kişi, Kurum'a yaptığı şikayette, e-nabız hesabına iki farklı hastane çalışanının izinsiz olarak eriştiğini iddia etmiştir.

Kurul, 21 Eylül 2021 tarihli ve 2021/962 sayılı Kararı ile: (i) ilgili kişinin sağlık verilerine erişim yetkisinin veri sorumlusu hastanede çalışan hekime ait olduğunu, hekimin yanındaki sekreterin söz konusu verilere erişimininse kişisel verilere hukuka aykırı erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığını gösterdiğini ve (ii) sağlık verilerine hukuka aykırı olarak erişim sağlayan çalışanlar hakkında Türk Ceza Kanunu hükümlerinin uygulanabileceğini tespit etti.

Bu doğrultuda Kurul, veri sorumlusuna makul teknik ve idari tedbirleri almadığı gerekçesiyle idari para cezası uygulanmasına ve ilgili kişilerin başvurularına yanıt verilmesi hususunda gerekli dikkat ve özen göstermesi için talimatlandırılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Karar — Mağaza müşterilerinin kişisel verilerinin satışa çıkarılması hakkında karar

Kurum'a intikal eden şikayette, veri sorumlusunun müşterilerine ait kişisel verilerin internet üzerinden satışa çıkarıldığı iddia edilmiştir Kurul, 7 Ekim 2021 tarihli ve 2021/1021 sayılı Kararı ile:

  • kişisel verilerin satışa çıkarıldığı internet sitesinde, aynı tarihte aynı veri işleyenden hizmet alan başka veri sorumlularının müşterilerine ait kişisel verilerin de olmasının, verilerin veri işleyenden elde edildiğini gösterdiğini;
  • ihlal veri işleyenin kişisel verileri muhafaza ettiği sistemden kaynaklanmış olsa da gerekli tedbirlerin alınması hususunda veri sorumlusunun veri işleyen ile müştereken sorumlu olduğunu;
  • y ihlalden önce veri işleyenin sistemlerine yönelik herhangi bir sızma testi raporu bulunmamasının, veri sorumlusunun kişisel verilerin korunmasına için uygun güvenlik düzeyini temin etmediğini gösterdiğini;
  • veri sorumlusunun, veri işleyenin muhafaza ettiği kişisel verileri aralarındaki ticari ilişkinin sonlanmasının ardından imha etmesini sağlamadığını;
  • ihlalden etkilenen 4792 kişi olduğunu ve ad soyad, T.C. kimlik numarası, telefon numarası, cinsiyet, doğum tarihi ve sipariş bilgileri içeren ihlale konu kişisel verilerin ilgili kişiler üzerinde olumsuz sonuç doğurma riskinin bulunduğunu

tespit etti.

Bu doğrultuda Kurul, veri sorumlusu hakkında (i) gerekli teknik ve idari tedbirleri almaması sebebiyle 450.000 TL idari para cezası uygulanmasına, (ii) bundan sonraki bildirimleri etkilenen herkesin bilgi almasına elverişli ve Kurul'un 18 Eylül 2019 tarih ve 2019/271 sayılı kararında yer alan unsurlara uygun şekilde yapmasının hatırlatılmasına ve (iii) karara konu internet sitesinde kişisel verileri satışa çıkarılan diğer veri sorumluları hakkında resen inceleme başlatılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Dünyadan Göze Çarpan Gelişmeler

  • Avrupa Veri Koruma Kurulu yurt dışına veri aktarımının kapsamını netleştiren taslak rehberi yayımladı

Avrupa Veri Koruma Kurulu ("EDPB"), 19 Kasım 2021 tarihinde Avrupa Genel Veri Koruma Tüzüğü'nün ("GDPR") 3. maddesi ile yurt dışına veri aktarımına ilişkin düzenlemeleri arasındaki ilişki üzerine rehber yayımladı. Rehberde, yurt dışına veri aktarımının (i) veri işleme faaliyetiyle ilgili olarak veri işleyen veya veri sorumlusunun GDPR'a tabi olması, (ii) söz konusu veri işleyen veya veri sorumlusunun kişisel verileri aktarım yoluyla veya başka bir suretle diğer veri sorumlusu/ veri işleyenlerin erişimine sunması ve (iii) GDPR'ın 3. maddesinden bağımsız olarak, kendisine kişisel veri aktarılan kişinin üçüncü bir ülkede veya uluslararası bir kuruluş1 olması kriterlerine göre belirleneceği belirtildi.

Yurt dışına veri aktarımında kümülatif olarak aranan kriterlerin uygulama örneklerine kapsamlıca yer verilen rehberde, yurt dışındaki veri sorumlusunun doğrudan kişisel veri toplamasının (ii) numaralı kriteri yerine getirmemesi sebebiyle yurt dışına veri aktarımı teşkil etmediği belirtildi.

Rehbere buradan ulaşabilirsiniz.

Footnote

1. Rehbere göre "Uluslararası kuruluş", uluslararası hukuka tabi olan bir kuruluşu ve ona bağlı alt kuruluşları veya iki veya daha fazla ülke arasındaki anlaşma uyarınca kurulan herhangi bir kuruluş anlamına gelir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.