Kişisel Verileri Koruma Kurulu (“Kurul”), beş yeni özet karar yayımladı:
- 2021/470 sayılı Karar Özeti: Şikayet konusu, ilgili kişinin işvereni tarafından kendisine sağlanan yemek kartına ilişkin hareket dökümünü kart hizmeti sağlayan veri sorumlusu şirketten talep etmesi ve söz konusu bilginin e-posta yoluyla şifreli şekilde yollanması, şifrenin ise ancak ilgili kişi tarafından telefonla şirketi araması sonucu paylaşılabileceğinin bildirilmesidir. Şikayetçiye göre söz konusu talep ilgili kişinin verilerin işlenmesine ilişkin bilgi alma hakkını sınırlamaktadır. Kurul, söz konusu önlemin Kişisel Verilerin Korunması Kanunu (“KVKK”) tahtında gerekli teknik ve idari tedbirler kapsamında değerlendirilmesine karar vermiştir.
- 2021/427 sayılı Karar Özeti: Karar, önceki tarihli bir veri ihlaline ilişkindir. Bir iş ortağı şirket, veri sorumlusu e-ticaret platformunun CRM veri tabanına erişmiş ve daha sonra söz konusu erişim ilgili platforma bildirilmiştir. Her ne kadar sonrasında platform ve iş ortağı arasında gizlilik ve sistem zafiyetlerini ortaya çıkarma üzerine güvenlik hizmet sözleşmesi akdedilmiş olsa da, ihlal tarihinde iş ortağı şirketin bu şekilde bir yetkisi olmaması sebebi ile Kurul, bu hususun söz konusu aykırılığı ortadan kaldırmadığına karar vermiştir. Sonuç olarak veri sorumlusu 800.000 TL idari para cezasına çarptırılmıştır.
- 2021/426 sayılı Karar Özeti: Karar, önceki tarihli bir veri ihlaline ilişkindir. Bir e-ticaret platformu faaliyeti gösteren veri sorumlusu tarafından bir iş ortağı şirkete yanlışlık sonucu geniş yetki tanınmış olduğu, Kurul tarafından söz konusu yanlışlığın, gerekli güvenlik önlemlerinin alınmaması sebebi ile ortaya çıktığı belirtilmiştir. Sonuç olarak veri sorumlusu 800.000 TL idari para cezasına çarptırılmıştır.
- 2021/571 sayılı Karar Özeti: Kurul tarafından önceki süreçte, vakıf ve sendikaların Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt yükümlülüğünden muaf tutulmasına karar vermişti. Kurul, tereddütleri gidermek üzere, söz konusu muafiyetin yalnızca herhangi bir bağlı iktisadi teşebbüsü bulunmayan dernek, vakıf ve sendikalara uygulanacağı, kendisine bağlı iktisadi teşebbüs bulunan dernek, vakıf ve sendikaların iktisadi işletmelerin faaliyetleri ile sınırlı olmak üzere VERBİS’e kayıt yükümlülüğü bulunduğuna karar verdi.
- 2021/569 sayılı Karar Özeti: Kurul’a ulaşan ve iş ortaklığı, konsorsiyum, adi ortaklık gibi ortaklıkların VERBİS kayıt yükümlülüğüne ilişkin bilgi talepleri üzerine Kurul tarafından, ortaklığı oluşturan ortaklardan hâlihazırda Sicile kayıt yükümlülüğü bulunanların VERBİS’e ortaklık faaliyetleri kapsamında işledikleri kişisel verilere ilişkin olarak da bilgi girişi yapması gerektiğine karar verilmiştir.
