Kişisel Verileri Koruma Kurulu [“KVKK”], web sitesinde, kişisel verileri koruma konusunda yeterli idari ve teknik önlemleri almadıkları gerekçesiyle iki farklı şirkete idari para cezası verildiğine ilişkin iki karar daha yayınladı. Kişisel verilerin korunmasına ilişkin düzenlemelerin Türk hukukunda nispeten yeni olması nedeniyle, yeni düzenlemelere uyum sürecinde KVKK tarafından verilen kararlar nispeten uyarı ve tavsiye niteliğinde idi. Buna karşın, söz konusu iki karar da dahil olmak üzere KVKK’nın son zamanlarda verdiği kararlar göz önüne alındığında, kurumun kişisel verilerin korunması konusunda artık taviz vermediği gözükmektedir. Kararların özetini aşağıda bulabilirsiniz.
Yukarıda bahsedilen kararlardan birinde KVKK, veri sorumlusu olan şirketin gerekli idari ve teknik önlemleri almaması nedeniyle söz konusu şirkete 300.000,00 TL idari para vermiştir. Ayrıca veri sorumlusu şirketin veri ihlalini kişisel verileri ihlal edilen ilgili kişilere bildirmemesi nedeniyle aynı şirkete ayrıca 150.000,00 TL idari para cezası vermiştir. Söz konusu kararın gerekçesinde;
- Şirket tarafından KVKK’ya yapılan bildirimde veri ihlalinin ne zaman gerçekleşmiş olduğunun tespit edilemediği belirtilmiştir. Bu nedenle de KVKK, veri ihlalinin ne zaman gerçekleştiğinin tespit edilememesini veri sorumlusunun gerekli denetim, inceleme ve kontrol önlemlerini almadığının göstergelerinden biri olarak değerlendirmiştir.
- Yine KVKK, söz konusu kişisel verilerin ne zaman ihlal edildiği ve ihlale konu olan verilerin ne zaman veri işleyen kişiye aktarıldığının tespit edilememesini veri sorumlusu şirket tarafından gerekli idari ve teknik önlemlerin alınmamış olduğu şeklinde yorumlamıştır.
- Verileri ihlal edilen kişilerin kimler olduğunun belirlenememesi KVKK tarafından, teknik ve idari önlemin yetersizliğinin bir başka göstergesi olarak addedilmiştir.
- Ayrıca KVKK; şirketin, verileri ihlal edilen ilgili kişilere söz konusu ihlali zamanında bildirmemesini de ilgili yasaya aykırı bulmuştur.
Daha fazla bilgi için: https://kvkk.gov.tr/Icerik/5535/2019-254
Yukarıda bahsedilen kararlardan diğerinde ise KVKK, bir başka şirkete, kişisel verilerin güvenliğinin sağlanması hususunda yeterli teknik ve idari önlemlerin alınmadığı gerekçesiyle 400.000,00 TL para cezası vermiştir. KVKK aynı zamanda aynı şirkete söz konusu kişisel veri ihlalini ilgili kişilere zamanında haber vermemesi nedeniyle 100.000,00 TL para cezası daha vermiştir. Söz konusu kararın gerekçesinde;
- Şirketin çalışanlarından birinin bilgisayarına şirketle alakası olmayan bir üçüncü kişinin erişim sağlaması, KVKK tarafından söz konusu şirketin kişisel verilerin korunması hususunda gerekli teknik önlemleri almadığı şeklinde değerlendirilmiştir,
- Ayrıca sunuculara erişimi olan LAN bağlantısının veri ihlali yapıldıktan sonra kapatılması, KVKK tarafından şirketin sistemindeki bir güvenlik açığı olarak değerlendirilmiştir.
- Şirket bilgisayarlarındaki güvenlik duvarlarının veri ihlali yapıldıktan sonra yenilenmesi, veri ihlalinden önce güncel olmadığı kanaatini oluşturmuş ve KVKK tarafından teknik önlemlerin alınmasındaki ihmal olarak değerlendirilmiştir.
- KVKK, söz konusu olayda veri sorumlusu şirket personellerinin siber güvenlik ve veri ihlallerine karşı gerekli eğitimleri almadığı tespitine yer vermiştir.
- Bilgi işlem departmanının kişisel veri ihlallerini tespit etme hususunda yeterli olmaması KVKK tarafından yine şirketin gerekli teknik ve idari tedbirlerin alınmadığı olarak değerlendirilmiştir.
Daha fazla bilgi için: https://kvkk.gov.tr/Icerik/5537/2019-255