Türkiye Kişisel Verileri Koruma Kurulu tarafından 24 Nisan 2023 tarihinde yayınlanan karar özetlerine ilişkin bir değerlendirme

0
Türkiye Kişisel Verileri Koruma Kurulu tarafından 24 Nisan 2023 tarihinde yayınlanan karar özetlerine ilişkin bir değerlendirme

Türkiye Kişisel Verileri Koruma Kurulu (“Kurul”) 24 Nisan 2023 tarihinde 40 yeni karar özetini yayınladı. Bu yazımızda, bu kararlarla ilgili değerlendirmelerimizi ve ilgi çekici bulduğumuz noktaları paylaşacağız.

Yeni yayınlanan karar setinde, veri sahiplerinin aydınlatılmaması (gizlilik bildirimlerinin yapılmaması), herhangi bir işleme şartına dayanmaksızın verilerin işlenmesi, açık rızaya dayalı olarak yapılması gereken veri işleme faaliyetlerinde açık rızanın alınmaması gibi hususlar yer alıyor. , veya yasa dışı aktarım Kişisel veriler için yurt dışına.

Yönetim Kurulu tarafından verilen idari para cezaları çoğunlukla 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 18/1(b) bendinde düzenlenen “veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi” nedeniyle uygulanmıştır. ; Kurulun genel olarak dayandığı kapsamlı makaledir.

Yayınlanan kararların dağılımına bakıldığında, veri sorumluları hakkında 30.000 ile 950.000 Türk Lirası (yaklaşık 1.500-EUR ile 40.000-EUR) arasında değişen idari para cezalarının verildiği görülmektedir. Bir teknoloji şirketine 950.000 TL idari para cezası verilmiş olup, idari para cezasının gerekçesi ilgili kişilerin kişisel verilerinin açık rızaları olmaksızın yurt dışına aktarılmasıdır. Veri sorumlusu tarafından yapılan gizlilik bildiriminde offshoring konusunda kişilere bilgi verilmesine rağmen, olması gerektiği gibi veri sahibinin açık rızasının alınmadığı anlaşılmaktadır.

Kurul’un Veri Sorumlularını, Veri Sahiplerinden gelen taleplerin KVKK ve Bildirim Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) uyarınca yanıtlanması ve ayrıca bilgilendirme yapılması konusunda sık sık uyardığı açıktır. Veri Sahipleri ve Veri İhlalleri Kurulu.

Yayınlanan bu kararlarda öne çıkan şey, çok çeşitli sektörlerden pek çok şirketin yönetim kurulu incelemesine tabi tutulmuş olmasıdır. Örneğin, nakliye şirketleri ile ilgili birden fazla karar yayınlanmıştır. Kurul, 2023/4 sayılı Kararında şirkete 75.000 TL idari para cezası verdi. Bu, teslimat şirketinin barkodlama işlemi sırasında bir hata yapması ve veri sahibine teslim edilmesi gereken paketin üçüncü kişiye gönderilmesinden kaynaklanmıştır; Böylece veri sahibinin kişisel verileri üçüncü kişilerle paylaşılmaktadır.

2022/277 sayılı Kararda, teslimat şirketinin paket içeriği bakımından veri sorumlusu veya veri işleyen sıfatının bulunmadığı, ancak paket üzerindeki veriler açısından veri sorumlusu olmaya devam ettiğine karar verilmiştir. ; Ancak karar, yargı yetkisine tabi Data’yı, şirketin yanlış adrese teslimi ile bağlantılı olarak hukuki ve/veya cezai sorumluluk aramaya yöneltti.

Kurul, başka bir sektörden de avukatların veri işleme faaliyetlerine ilişkin beş karar yayınladı. Kurul, bu kararlarda genel olarak, avukatların müvekkil-avukat ilişkisinden doğan hukuki yükümlülüklerini yerine getirebilmeleri veya kanun yollarına başvurma hakkını tesis etmeleri, kullanabilmeleri veya koruyabilmeleri için müvekkil verilerini işlemesinin zorunlu olduğunu; Her ikisi de KVKK tarafından tanınan istisnalardır. Ayrıca Kurul, borcun tahsili amacıyla borçluya SMS gönderen bir avukatlık ortaklığını da (veri sorumlusu değil) “veri işleyen” olarak belirlemiştir.

Öte yandan 1201/2022 sayılı Kararda “unutulma hakkı” ele alındı. İlgili kişinin talebi, İnternet arama motorlarında kendisi için yapılan arama sonucunda elde edilen sonuçların dizinden çıkarılmasıdır. Talebe konu içerik Resmi Gazete sayfasında yer almış ve şikayet konusu veri sorumlusu, söz konusu içeriğin kanun hükümleri gereği var olan resmi bir kayıt olduğunu ve kamu kurumu kaynaklarından bilgi alma hakkının bulunmadığını iddia etmiştir. temel bir haktır. Kurul, söz konusu verilerin endekslenmesinin kamu yararı olmadığına karar verdi. Kurul, Resmi Gazete sayfasındaki ilanın amacının kişiyi bilgilendirmek olduğunu görmüş ve kişiye bu durum tebliğ edilmiştir. Bu doğrultuda Kurul, Veri Sorumlusuna URL’nin kişinin adı ve soyadı ile ilişkilendirilemeyecek şekilde dizinden çıkarılması talimatını vermiştir.

Bir diğer önemli nokta da Kurul’un 2023/426 sayılı Kararında sonuca ulaşırken “kesin kanaat” ile hareket etmiş olmasıdır. Şikayete konu olayda, bireysel e-devlet (devletin internet sitesi üzerinden sunulan bir dizi online hizmet) şifresinin tüketici müşterilere finansman kredisi sağlayan firma tarafından satın alma anında istendiği ileri sürüldü. Veri Sorumlusu’nun veri sahiplerinin e-devlet şifrelerine erişimi olduğuna dair iddialara ilişkin somut bir delil bulunmamasına rağmen Kurul, Veri Sorumlusu’na 400.000 TL idari para cezası vermiş ve Veri Sorumlusu’na işlenen verileri davasız olarak imha etmesi talimatını vermiştir. .

KVKK’nın geçtiğimiz yıllarda duyurulduğu üzere güncelleneceği yönünde yaygın bir beklenti var. Cezaların gelirle orantılı olması bekleniyor ve sınır ötesi veri aktarımlarını yöneten hükümler, Genel Veri Koruma Yönetmeliği (GDPR) ile daha uyumlu olacak şekilde güncellenecek. O zamana kadar, Konsey kararlarının özetleri uygulama teşkil edecek ve Türk veri koruma kanununda yol gösterici olacaktır.

Lütfen bi.legal’i ziyaret edin veya Linkedin İletişim kurmak veya güncellemelerimizi takip etmek için bir sayfa.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir