Kişisel verilerin güvenliği ile yasal düzenlemelerin etkilediği kesimlerin başında işi itibariyle kişisel verileri toplayan, saklayan ve işleyen meslek grupları geliyor. Avukatlar da meslekleri gereği farklı şekillerde kişisel veriler ile temas içinde bulunan gruplar arasında yer alıyor. Hatta kişisel verilerin avukatlık mesleğinin bir parçası haline geldiğini söylemek abartılı olmaz. Dolayısıyla, kişisel verilerin saklanması ve işlenmesine ilişkin düzenlemelerin kapsamında avukatlar da yer alıyor.
Durum böyle olmasına rağmen hem dünya da hem de Türkiye’de avukatlar veri ihlalleri ile sık sık gündeme geliyor. Yürürlüğe girdiği günden bu yana Facebook ve Microsoft gibi dünya devlerinde yaşanan veri ihlallerine ceza kesen Kişisel Verileri Koruma Kurumu’nda kişisel veriler ile ilgili düzenlemelere riayet etmeyen avukatlar da nasibini aldı.
Kolay Erişim
BİR SMS’E 50 BİN TL CEZA
Geçtiğimiz sene bir avukata KVKK tarafından kesilen ceza uzun süre gündemdeki yerini korudu. Bir şirketler grubunun avukatlığını yapan kişi, gruba borçlu olan bir şahsın yeğenine borç meselesi ile ilgili SMS atınca konu KVKK’ya taşındı. Avukat işlemin bir personel hatası olduğunu savunsa da kurum bunu inandırıcı bulmadı ve avukata 50 bin TL ceza kesti. Kararın gerekçeleri arasında veri sorumlusu olan avukatın işleme düzenlemelerinden herhangi birine bağlı olmadan veriyi işlemesi yer aldı.
VERİ GÜVENLİĞİ İLKELERİ İÇSELLEŞTİRİLMELİ
Konuyla ilgili görüşlerine başvurduğumuz Kavlak Avukatlık Bürosu, yaptığı açıklamada avukatların kanuna göre ‘veri sorumlusu’ sıfatının bulunduğuna dikkat çekerek, avukatların kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülükleri olduğu vurgulandı.
KVKK, web sitesinde yayınladığı “Veri Sorumlusu ve Veri İşleyen” başlıklı dokümanda da veri sorumlusunu net bir şekilde tanımlıyor:
“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”
Aynı dokümanda veri sorumlusunun aynı zamanda veri işleyen de olabileceğinin altı çizilerek, veri sorumlusunun tespiti için ‘toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı ve verilerin ne kadar süreyle saklanacağı’ gibi konularda karar verici olduğuna işaret ediliyor.
KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİNE 125 BİN TL CEZA
Avukatın veri sorumlusu olarak değerlendirildiği ve kanuna aykırı hareket ettiği için ceza aldığı bir başka olayda bu senenin başında yaşandı. KVKK’nın yayınladığı karar özetine göre, şikayetçi icra takibi yapan bir avukatlık bürosunun kendisine icra takibi ile ilgili attığı SMS’leri kardeşine de attığını belirterek durumu KVKK’ya taşıdı.
KVKK’nın savunmasını istediği avukat ise, KVKK’nın kamuoyu tarafından bilinmediği, içselleştirilmediği ve Kurul’un karar sayısının az olduğunu iddialarına savunmasında yer verdi. Savunma sonrasında KVKK avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerini yerine getirmediği ve genel ilkelere aykırı hareket ettiği sonucuna varılarak 125.000 TL idari para cezası uygulanmasına karar verdi.
Kararı değerlendiren Kavlak Avukatlık Bürosu uzmanları, KVKK’nın kararının başta ICO ve Avrupa’daki veri koruma otoritelerinin de konuya yaklaşımı ile benzeştiğini belirterek Kurul’un söz konusu kararındaki yaklaşım ve değerlendirmeleri de ilerleyen süreçler için emsal niteliğinde olabileceğine dikkat çekildi.