6698 sayili Kisisel Verilerin Korunmasi Kanunu (''Kanun'') kapsaminda alinan ve Kisisel Verileri Koruma Kurulu'nun ("Kurul") resmi internet sitesinde 2022 Subat ayinda yayinlanan kararlara iliskin önemli hususlar asagida belirtilmektedir.
- Yerel bir haber sitesi tarafindan ilgili kisinin açik rizasi olmaksizin sinav sonuç belgesinin paylasilmasina iliskin Kurul'un 2022/13 sayili Karar Özeti
-
Sikâyete konu olayda, veri sahibinin kisisel verisi niteligindeki bilgilerinin yer aldigi Yüksekögretim Kurumlari Sinavi (YKS) sinav sonuç belgesinin yerel haber sitesi tarafindan açik rizasi olmaksizin paylasildigi ve veri sorumlusuna bu veri isleme faaliyeti ile ilgili basvuruda bulunuldugu, ancak bu basvurunun da yanitsiz birakildigi belirtilmistir.
Kurul, bahse konu olayda haberi yayinlayan veri sorumlusu açisindan basin özgürlügü söz konusu iken ilgili kisi açisindan da kisisel verilerin korunmasini isteme hakkinin söz konusu oldugu, dolayisiyla basin özgürlügü ile kisisel verilerin korunmasini isteme hakkinin karsi karsiya oldugunu belirtmektedir.
Kurul, haberdeki olayin toplumu konu üzerinde düsünmeye sevk etmedigi ve dolayisiyla bir kamu yarari bulunmadigi kanaatine varmis olup, söz konusu haberde gerçeklestirilen kisisel veri isleme faaliyetinin Kanuna aykirina olduguna ve veri sorumlusuna idari para cezasi uygulanmasina karar vermistir. Karar tarihi itibariyle sikâyete konu haberin internet sitesinden kaldirilmasinin, veri sorumlusuna verilen cezada hafifletici sebep oldugu belirtilmistir.
Kararin tam metnine asagidaki linkten ulasabilirsiniz:
- Yemek Sepeti veri ihlal bildirimi hakkinda Kurul'un 2021/1324 sayili Karar Özeti
-
Kurula intikal eden sikayette, kimligi tespit edilemeyen sahis/sahislar tarafindan veri sorumlusuna ait bir web uygulama sunucusuna erisildigi, ihlali gerçeklestiren sahsin/sahislarin eristigi sunucu üzerinde kullanici olusturarak farkli araçlar vasitasiyla veri toplamaya çalistiklari ve uzaktaki sunuculara trafik gönderdiklerinin de ayrica tespit edildigi, sahis/sahislarin elde ettikleri verileri Fransa'da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafigin firewall (güvenlik duvari) üzerinde izlerinin oldugu, ihlalden 21.504.083 Yemeksepeti kullanicisinin etkilendigi, ihlalden etkilenen kisisel verilerin kullanici adi, adres, telefon numarasi, e-posta adresi, kullanici sifresi ve IP bilgileri oldugu belirtilmektedir.
Kurul, sisteme zararli yazilimlarin yüklenip, çalistirilmasinin veri sorumlusunca 8 gün boyunca fark edilememesi nedeniyle veri sorumlusunun kusurlu oldugunu belirtmektedir. Ayni zamanda veri sorumlusunun, hizmet aldigi üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasinin bulunmadigini ve güvenlik yazilimlarinin takibi ile güvenlik prosedürlerinin kullanilmasi noktasinda da eksiklerinin bulunduguna kanaat getirilmistir.
Ayrica, veri sorumlusu tarafindan güvenlik kontrolleri ve veri güvenligi takibinin düzgün bir sekilde yapilmadigi ve sizma testlerinin etkin bir sekilde uygulanmadigi belirtilmistir.
Bu nedenlerle, veri güvenligini saglamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkinda Kanun'un 12'inci ve 18'inci maddeleri uyarinca idari para cezasi verilmesine karar verilmistir.
Kararin tam metnine asagidaki linkten ulasabilirsiniz:
- Kurul tarafindan yayinlanan Ilke Kararlar Kitapçigi
-
Kurul tarafindan yayinlanan Ilke Kararlar Kitapçigina iliskin detayli bilgiye asagida linki verilen bültenimizden ulasabilirsiniz:
https://bener.com/tr/kvk-kurulunun-ilke-kararlarina-iliskin-bulten/
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
