Kişisel Verileri Koruma Kurulu (“Kurul”), dört yeni özet karar yayımladı:
- 2021/140 sayılı Karar Özeti: Şikayet konusu, ilgili belediyelerin internet üzerinden emlak vergisi ve beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ihlal teşkil ettiği iddiasıdır. Kararda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu belirtilmiştir.
- 2021/359 sayılı Karar Özeti: Şikayet konusu, ilgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması iddiasıdır. Kararda değerlendirme neticesinde söz konusu verilerin işlenmesi konusunda ayrıca bir açık rıza alınmadığı ve ilgili olay özelinde her ne kadar açık rıza gerektirmeyen veri işleme faaliyetleri devam ediyor olsa da bu durumun her türlü kişisel veriyi kapsar biçimde yorumlanamayacağı, işlenen veriler bağlamında ayrı ayrı inceleme yapılması gerektiği belirtilmiştir. Sonuç olarak veri sorumlusu 100.000 TL idari para cezasına çarptırılmıştır.
- 2021/389 sayılı Karar Özeti: Şikayet konusu, bir sigorta şirketinin hizmeti açık rıza şartına bağlaması hakkındaki ihbardır. İlgili olayda bireysel emeklilik sözleşmesi yapılması aşamasında ilgili kişinin açık rızası zorunlu bir unsur olarak yer almaktadır. Kararda diğer veri işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırı olduğu, açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği ve aydınlatma metninin ilgili düzenlemeler ışığında muğlak ifadelerden uzak olması gerektiği değerlendirilmiştir. Sonuçta veri sorumlusu 250.000 TL idari para cezasına çarptırılmış ve eylemlerini mevzuata uyumlu hale getirme konusunda talimatlandırılmıştır.
- 2021/407 sayılı Karar Özeti: Şikayet konusu, bir hastanenin veri ihlali bildirimidir. Kararda veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, gerekli teknik ve idari tedbirlerin alınmadığı değerlendirilmiştir. Sonuçta veri sorumlusu 150.000 TL idari para cezasına çarptırılmış ve veri ihlalinden etkilenen ilgili kişilere bildirim yapma konusunda talimatlandırılmıştır.
