Kişisel Verileri Koruma Kanunu’na göre haklarınız : İzinsiz Aramaya 75 Bin Lira Ceza
05.08.2019 – Kişisel Verileri Koruma Kurumu, bir yatırım şirketi tarafından izinsiz olarak reklam amacıyla aranmış olan bir kişinin yaptığı şikâyeti önemli bir kararla sonuçlandırdı. Karara göre Kişisel Verileri Koruma Kurulu, şirkete 75 bin TL para cezası uygulanmasına karar verirken, ilgili kişinin verilerini nereden ve nasıl elde ettiğine dair şirketin şikayetçi şahsa açıklama yapmasını istedi. Ayrıca şikayetçiye, kendi kişisel verilerinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi gerekçesiyle Türk Ceza Kanununda yer alan haklarını kullanabileceği hatırlatıldı.
Gelişen teknoloji ve değişen reklam anlayışı zaman zaman vatandaşların anayasal hakkı olan kişisel verilerin korunması hakkının ihlali gibi kişilerin aleyhine oluşacak sonuçlar doğurabiliyor. Bunun son örneklerinden biri de bir vatandaşın Kişisel Verileri Koruma Kurumuna başvurusuyla ortaya çıktı.
“Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir kişisel veri işleme şartına dayanmadan işlenmesi ve reklam amacıyla aranması hakkında Kuruma yaptığı başvuru” ile ilgili 08/07/2019 tarihli ve 2019/204 sayılı Kurul Karar Özeti Kişisel Verileri Koruma Kurumu tarafından açıklandı. Buna göre ilgili kişiyi reklam amaçlı izinsiz arayan şirkete 75 bin TL para cezası verildi.
Söz konusu Kurum açıklamasında;
– Reklam amacıyla izinsiz olarak aramasının hukuka aykırı bir kişisel veri işleme faaliyeti olduğu için şirketin 75 bin TL idari para cezasına çarptırılmasının,
– Şirket çalışanının daha önceki çalıştığı işyerinden elde ettiği ilgili kişinin verisini şimdiki çalıştığı işyerine Kanuna aykırı olarak aktarmış olduğu ve şirketin Kanuna aykırı olarak kişisel veriyi ele geçirmiş olduğu nedeniyle, Türk Ceza Kanununun 136 ncı maddesinde yer alan haklarını kullanabileceğine dair şikayetçinin bilgilendirilmesinin,
– Şirketin, ilgili kişinin verilerini nasıl ve ne şekilde elde ettiğine dair kendisine başvuran kişiye açıklama yapması ve Kanuna uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasının,
Kişisel Verileri Koruma Kurulunca kararlaştırıldığı belirtildi.
Kurul Karar Özetine aşağıdaki linkten ulaşılabilir:
https://kvkk.gov.tr/Icerik/5517/2019-204
Kişisel Verileri Koruma Kanunu’nun Kapsamı Nedir? Kişisel Veriyi Yok Etmeyene Ceza…
Kişisel veriye imha kalkanı
21.11.2017 – Bilgi teknolojilerinin gelişmesiyle her gün milyonlarca noktada depolanan kişisel verilere ulaşım kolaylaşınca, veri güvenliğini korumaya yönelik düzenlemelere hız verildi. Ekim ayı sonunda Resmi Gazete’de yayımlanan yönetmelik 1 Ocak 2018’den itibaren kişisel veri bulunduran her kurumun hayatını değiştirecek.
KPMG Türkiye Şirket Ortağı Av. Onur Küçük, ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 1 Ocak 2018 itibarı ile yürürlüğe gireceğini belirtti. Küçük, “1,5 ay sonra, gerçek kişilere ait kişisel veri bulunduran tüm kamu ve özel kurumlar, bulundurdukları kişisel verileri, silme, yok etme veya anonim hale getirme yükümlülüklerinin ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde bu verileri silmek, yok etmek veya anonim hale getirmek zorunda, aksi halde TCK uyarınca cezai işlem uygulanacak” uyarısında bulundu.
Onur Küçük, “Kişisel Verileri Koruma Kanunu’nun 4’üncü maddesi, kişisel verilerin ilgili mevzuatta süre belirtilmesi halinde, söz konusu süre boyunca saklanmasını öngörüyor. İlgili mevzuatta süre öngörülmemiş olması halinde ise kişisel veriler işlendikleri amaç için gerektiği kadar saklanabilir. Kişisel verilerin işlenmesini gerektiren şartların tamamı ortadan kalktığında, kurumlar bu verileri kendiliğinden veya veri sahibinin talebi üzerine silmeli, yok etmeli ya da anonim hale getirmeli” dedi.
Kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm bilgilerin ‘kişisel veri’ olarak değerlendirildiğini vurgulayan Küçük, şöyle devam etti:
“Kişinin adı, soyadı, doğum yeri, doğum tarihi gibi kimlik bilgileri kişisel veridir. Ancak telefon numarasından pasaport numarasına, taşıt plakasından sosyal güvenlik numarasına, parmak izinden IP adresine kadar günlük hayatın her aşamasında kayıt altına alınan bilgiler de kişisel veri kapsamında düşünülmeli. Düzenleme gereği, bu tür verileri kayıt altında tutan kurum ve kuruluşlar verileri periyodik olarak silecek, yok edecek veya anonim hale getirecek. Kurumlar, verilerin silindiğine, yok edildiğine veya anonim hale getirildiğine ilişkin kayıtları üç yıl muhafaza edecek. Burada kişisel verilerin yok edilmesi, bu verilerin hiç kimse için hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini tanımlıyor.”
Kişisel veriyi korumayı amaçlayan imha süreçlerinin hukuki ve teknik önlemler alınarak ve sistemler kurularak yönetilmesi gerektiğini ifade eden Küçük, “Aksi halde Kişisel Verilerin Korunması Kanunu’nun (KVKK) atıfta bulunduğu Türk Ceza Kanunu’nda (TCK) öngörülen hapis cezasını içeren müeyyidelerle karşı karşıya kalınabilir. KVKK’nın 17’nci maddesi ve TCK’nın 138’inci maddesi; kanunla belirlenen sürelerin geçmesine rağmen verileri sistem içinde yok etmekle yükümlü olanların, görevlerini yapmadıkları takdirde bir yıldan iki yıla kadar hapisle cezalandırılmasını öngörüyor” diye konuştu.
