Loading
Blog

Kişisel Verileri Koruma Kurulu’nun İlk İlke Kararı

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15/6 Maddesi Uyarınca Alınan Karar
Kişisel Verileri Koruma Kurulu, ilk defa 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15/6 maddesi kapsamında bir ilke kararı almıştır. Bu maddeye göre, “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.” hükmü bulunmaktadır.

Kurul, alınan ilke kararlarını 25.01.2018 tarihli Resmî Gazete’de yayımlamıştır.

2017/61 Sayılı Karar (21.12.2017)

Bu kararda, özellikle 118’li hatlara ilişkin isimden telefon numarası veya telefon numarasından isim sorgulama şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalar ele alınmıştır.

Kurula iletilen ihbar ve şikâyetler doğrultusunda, bu kapsamda faaliyet gösteren birçok site ve uygulamanın varlığı tespit edilmiştir. Kurul, bu sitelerin ve uygulamaların Kanuna aykırı eylemlerini derhal durdurmaları gerektiğini, aksi takdirde cezai ve idari tedbirlere başvurulacağını vurgulamıştır.

2017/62 Sayılı Karar (21.12.2017)

Bu karar, banko, gişe, masa gibi vatandaşlara hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlalleri ile ilgilidir. Kurula intikal eden ihbar ve şikâyetler değerlendirilmiş, uygulamada yaşanan problemlerin çözümüne yönelik karar alınmıştır.

Özellikle bankacılık ve sağlık sektörleri başta olmak üzere şu alanlarda kişisel veri güvenliğinin sağlanması gerektiği belirtilmiştir:

  • Posta ve kargo hizmetleri,
  • Turizm acenteleri,
  • Zincir mağazaların müşteri hizmetleri bölümleri,
  • Çeşitli abonelik işlemlerinin yapıldığı kuruluşlar,
  • Belediye, vergi ve nüfus hizmetleri gibi kamu ve özel sektör kurumları.

Kanunun 12. maddesine göre, bu alanlarda:

  • Yetkisi olmayan kişilerin bu bölümlerde yer almasının önlenmesi,
  • Aynı anda hizmet alan kişilerin birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirlerin alınması gerektiği,
    vurgulanmıştır.

Bu yükümlülüklere uyulmaması durumunda idari tedbirlerin uygulanacağı belirtilmiştir.

Bu kararlarla birlikte Kurul, kişisel veri güvenliğinin ihlali halinde uygulanacak yaptırımları netleştirmiş ve kurumlara gerekli teknik ve idari önlemleri almaları konusunda açık bir çağrı yapmıştır.