Kişisel Verileri Koruma Kurulu (KVKK), son üç ayda emsal olacak bir dizi karar yayınladı. Kurulun internet sitesinde duyurulan kararlarla, kişisel verileri ihlal eden kurum ve kuruluşlara toplam 195 bin TL idari para cezası kesildi.

Kurul?un aldığı kararlar şöyle sıralandı:

Google?a Gmail uyarısı

Kurul, Google?a ait Gmail e-posta hizmeti altyapısının kullanılması durumunda, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz maddesi gereği, kişinin açık rızasının alınmasına karar verdi. Kurul, sunucuları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de kullanılması durumunda ilgili kişinin açık rızasının şart olduğunu duyurdu.

Aynı içeriği gönderme cezası

Kurul, ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesini, gönderici şirketin sahip olduğu hakkı kötüye kullanımı olarak değerlendirerek ilgili firmaya 20 bin TL idari para cezası kesti.

İzinsiz reklama 125 bin TL ceza

Kurul, izinsiz reklam içerikli mesaj gönderen şirkete, herhangi bir işleme şartına dayanmadığı gerekçesiyle 50 bin TL idari para cezası uyguladı. Kurul bir başka şirkete de, eski bir çalışanının cep telefonu numarasını herhangi bir veri işleme şartına dayanmadan işlemesi ve reklam/bilgilendirme amaçlı aramada kullanması nedeniyle 75 bin TL para cezasına çarptırdı.

Yanlış içerik gönderimi

Kurul, şikayetçi kişinin cep telefonuna, kendisine ait olmayan içerik gönderen veri sorumlusuna da 50 bin TL idarı ceza kesti.

Parmak izi ceza getirdi

Kurul, spor salonu hizmeti sunan şirketlerin, üyelerinin giriş-çıkış kontrolünde el-avuç okutma sisteminde kullanılan verilerin, biyometrik ve genetik veriler olduğuna, Avrupa Genel Veri Koruma Tüzüğü?ne (GDPR) referansla, özel nitelikli kişisel veri olarak belirlendiğine karar verdi. Bu noktada parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin biyometrik yöntem olarak kabul edildiğini hatırlatan kurul, spor kulübü üyelerinin açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıklarını dikkate alarak, bahsi geçen kulüplere idari para cezası verdi. Kurul ayrıca, üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı gerekçesiyle de veri sorumlusuna idari para cezası verdi.

Karar uyarınca spor kulüplerine, giriş çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlamaları, biyometrik veri ile giriş çıkış işlemleri yapılması ve biyometrik veri işlemenin ivedilikle durdurulması hususunda talimat verildi. Spor kulüplerinden ayrıca, bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin ivedilikle yok etmeleri, ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere de ivedilikle bildirimini gerçekleştirmeleri konusunda uyarıldı.

Sınav sonucu özel veri sayılıyor

Kurul, veri sorumlusu olan üniversiteye, üniversite içerisinde sınava girmiş kişilerin sınav sonuçlarının alenen duyurulduğu sistemin kullanılmaması, sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde talimat verdi.

"Bakış açımızı değiştirmeliyiz"

KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Başkanı Sinem Cantürk, kişisel verilerin korunması konusunun, tüm sektörlerde ve süreçlerde bakış açımızı değiştirmemizi gerektirdiğini vurguladı. Cantürk, "Eskiden müşterilerimizin verilerine ?kendi? verilerimiz gibi davranırdık, ama bu verilerin ?bizim? olmadığını, sadece belirli bir amaç için bize verildiğini ve o amacın dışına çıkmamamız gerektiğini kabul etmeliyiz? dedi.

Cantürk, "Kişisel veriler konusunda bakış açımızı radikal şekilde değiştirmeliyiz ve bu konuyu ?kişisel? bir hak olarak görmeliyiz. Ama bu değişimin zaman alacağını şimdiden kabul etmemiz gerekli" ifadelerini kullandı.