Kişisel Verileri Koruma Kurulu (“Kurul”), açık rıza olmaksızın kişisel verilerin bir yerel gazetede ifşa edilmiş olması ile hukuka aykırı ve amacı aşan şekilde e-Devlet şifresinin işlenmesine ilişkin iki yeni karar yayımladı.
6 Ocak 2022 tarihli ve 2022/13 sayılı karar özeti:
- Şikayete konu olayda, bir haber sitesi ilgili kişinin açık rızası olmadan T.C. kimlik numarasını (“TCKN”) maskeleyerek adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer vermiştir.
- Haberi yayınlayan veri sorumlusu açısından basın özgürlüğüne dayanmakta olup; ilgili kişi açısından ise kişisel verilerin korunmasını isteme hakkı söz konusudur. Şikayete konu kişisel veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) maddesinin 1. fıkrasındaki ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesindeki haberde ilgili kişinin kişisel verilerinin Kanun’un 12. maddesine aykırı olarak işlendiğine karar verilmiştir.
- Karar tarihi itibariyle kişisel verilerin internet sitesinden kaldırılmış olması hafifletici unsur olarak dikkate alınmış, Kanun’un 18. maddesinin 1. fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
17 Şubat 2022 tarihli ve 2022/137 sayılı karar özeti:
- Şikayete konu olay, veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise TCKN temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi hakkındadır.
- Veri sorumlusu tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5. maddesindeki veri işleme şartlarından birine dayanılmaksızın gerçekleştirildiği tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada TCKN girilerek daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olmasının veri güvenliği açığına işaret ettiği sonucuna varılmıştır. Bu hususların Kanun’un 12. maddesinin 1. fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18. maddesinin 1.fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına karar verilmiştir.