Kişisel Verileri Koruma Kurulu Yeni Karar Özetleri Yayımladı 28 Şubat 2019

Kişisel Verilerin Korunması Hakkında Kanun’un (“Kanun”) 15 ve 22. Maddeleri uyarınca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) veri sahiplerinin şikayeti üzerine veya resen görev alanına giren konularda inceleme yapma ve ihlal üzerine idari para cezası tanzim etme yetkisi bulunmaktadır. Kurul, yaptığı incelemeler sonucunda önemli gördüğü ve emsal oluşturabileceğini düşündüğü kararların özetlerini internet sitesinde yayımlamaktadır

Kurul tarafından yayımlanan son beş karar özetini aşağıda bilgilerinize sunarız.

1. Özel Nitelikli Kişisel Verilerin Veri Sorumlusu Tarafından Herhangi Bir İşleme Şartına Dayanmaksızın Üçüncü Kişiyle Paylaşılması

Kurulun 05.12.2018 Tarihli ve 2018/143 Sayılı Kararına konu olan şikayet başvurusunda özetle; doktor kontrolünde ilaç kullanan bir gerçek kişinin, özel nitelikli bu sağlık verisi, ilaçları temin etmekte olduğu eczane tarafından, 6698 sayılı Kanunun 6. Maddesinin (3) numaralı fıkrasında öngörülen özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden herhangi biri bulunmaksızın bir üçüncü kişiyle paylaşılmıştır.

Kurul yapmış olduğu değerlendirmeler neticesinde, Kanunun 12. Maddesinin (4) numaralı fıkrası uyarınca bilgisi dahilindeki kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacının dışında kullanmama yükümlülüğü altında bulunmasına rağmen bu yükümlülüğe aykırı davranan ve Kanunun 8. Maddesinin (2) numaralı fıkrasında düzenlenen kişisel verilerin ilgili kişinin açık rızası bulunmaksızın aktarılabileceği hallerden herhangi biri bulunmaksızın ilgili kişinin özel nitelikli kişisel verilerini, üçüncü kişiyle paylaşan veri sorumlusu eczane hakkında Kanunun 18. Maddesi uyarınca idari para cezası uygulanmasına karar vermiştir.

2. Kişisel Verilerini, Bir Firmanın İnternet Sitesi Üzerinden Alışveriş Yapmak Amacıyla Paylaşan Gerçek Kişinin, Bu Verilerinin Üçüncü Kişilerce Erişilebilir Hale Gelmesi ve Verilerin Silinmesi Talebi

Kurulun 26.07.2018 Tarihli ve 2018/91 Sayılı Kararına konu olan şikayet başvurusunda özetle; şikayetçinin, bir hazır giyim firmasının internet sitesi üzerinden alışveriş yapmak amacıyla firma ile paylaştığı üyelik bilgileri, teslimat adresi, adı, soyadı, telefon numarası gibi bir takım kişisel bilgiler, aynı internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmiş; şikayetçi, bu duruma istinaden, firmadan kişisel bilgilerinin silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi veya yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde silinmesini ve yok edilmesini talep etmiştir.

Kişisel verilerin üçüncü kişilerce erişilebilir hale gelmesi yönünden veri sorumlusu firmanın şikayete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığı gibi çeşitli savunma ve gerekçeleri Kurul tarafında yeterli bulunmamış; Kanunun 12. Maddesinin (1) numaralı fıkrası kapsamında öngörülen kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği tespit edilen veri sorumlusu firma hakkında Kanunun 18. Maddesi uyarınca idari para cezası uygulanmasına karar vermiştir.

Üçüncü kişilerce erişilebilir hale gelen kişisel verilerin imhası talebi yönünden; somut vakıa kapsamında verilerin işlenmesini gerektiren sebeplerin ortadan kalktığı ve bu kapsamda şikayetçinin Kanunun 11. Maddesinin (1) numaralı fıkrası uyarınca kişisel verilerinin imhasını talep etme hakkının bulunduğu tespit edildiğinden, bu yöndeki taleplerinin kabulü ile şirketin bu hususta yapacağı işlemlerin şirket tarafından açıklanması ve tevsik edici belgelerle birlikte kararın tebliğinden itibaren 30 gün içerisinde şikayetçiye iletilmesi yönünde talimatlandırılmasına karar verilmiştir.

3. Devlet Memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imhası talebi

28.06.2018 tarihli ve 2018/69 sayılı Karar, devlet memurlarının, memuriyet dönemlerinde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imhası taleplerine ilişkin olup; Kurum kendisine yapılan başvuru neticesinde özetle imhası talep edilen evrakın niteliği gereği 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük dosyası” başlıklı 109 uncu maddesi kapsamında özlük dosyası içerisinde saklanması gereken evrak olmasından hareketle, memurların bu yöndeki taleplerinin veri sorumlusu kamu kurumu tarafından reddedilmesinin uygun olduğuna karar vermiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunun 7. Maddesinin (1) numaralı fıkrası uyarınca; işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişi, kendisine ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini talep edebilmektedir.

Ancak bahse konu evraklar, 657 sayılı Kanun kapsamında öngörüldüğü üzere özlük dosyası içerisinde bulunması gereken evrak niteliğinde olduğundan, yine Kamu Personeli Genel Tebliği (Seri No: 2) ‘ne göre herhangi bir şekilde görevi sona eren memurların özlük dosyalarının kurumlarca saklanması gerektiğinden ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmedikçe memuriyet sicil dosyaları içerisinde yer alması gerektiğinden; bu durumda 6698 sayılı Kanun Madde 7’ye göre kişisel verilerin işlenmesini gerektiren sebep henüz ortadan kalkmamıştır. Bu itibarla karar özetinde ifade edildiği üzere; bahse konu taleplerin kamu kurumlarınca reddi Kurum tarafından uygun bulunmuştur

Diğer Haberler