Brezilya’da Devlet Başkanı Jair Bolsonaro’nun aralarında bulunduğu çok sayıda kamu görevlisinin kişisel verileri internete sızdırıldı.
Sızıntıdan etkilenenler arasında Bolsonaro’nun yanısıra yedi bakan ve 17 eyaletin valisi yer alıyor. Söz konusu sızıntı, bir hastane çalışanının GitHub adlı sisteme 16 milyon kişinin kullanıcı adları, parolalar ve kritik kamu sistemlerine erişim bilgilerini içeren bir elektronik tablo yüklemesinin ardından gerçekleşti.
SIZINTIYI GitHub KULLANICISI KEŞFETTİ
Sızıntı, bir GitHub kullanıcısının Sao Paolo’daki Albert Einstein Hastanesi çalışanlarından birinin kişisel GitHub hesabında kullanıcı şifrelerini içeren elektronik tabloyu görmesi ile açığa çıktı. Kullanıcı daha sonra durumu Estado gazetesine bildirdi. Verileri analiz eden gazete de hastaneyi ve Brezilya Sağlık Bakanlığı’nı konu hakkında bilgilendirdi.
Estadao muhabirleri, 27 eyaletteki Brezilyalılara ait açığa çıkan veriler arasında Devlet Başkanı Bolsonaro, başkanın ailesi, yedi bakan ve 17 Brezilya eyaletinin valileri gibi yüksek profilli kişilerin bilgilerinin de olduğunu açıkladı. Olayın açığa çıkmasıyla elektronik tablo GitHub’dan kaldırılırken, hükümet yetkilileri sistemlerini yeniden güvence altına almak için şifreleri değiştirdi ve erişim anahtarlarını iptal etti.
Sızdırılan kimlik bilgilerinin yer aldığı sistemler arasında, COVID-19 hastalarının verilerini depolamak için kullanılan devlete ait iki veritabanı E-SUS-VE ve Sivep-Gripe bulunuyor. Hafif semptomları olan COVID-19 hastalarını kaydetmek için E-SUS-VE kullanılırken, hastanede yatan vakaları takip etmek için ise Sivep-Gripe kullanılmaktaydı. Her iki veri tabanında da hasta isimleri, adresleri, kimlik bilgileri gibi hassas bilgilerin yanı sıra hastaların tıbbi geçmişi ve ilaç kullanımları gibi sağlık kayıtlarını da içeriyordu.
COVID-19 salgını başladığından beri birçok devlet ve devlet adına çalışan firma, COVID-19 ile ilgili uygulamalarını ve veri tabanlarını güvence altına alma noktasında sorun yaşıyor. Almanya, Galler, Yeni Zelanda, Hindistan ve birçok başka ülkede kullanılan COVID-19 uygulamalarında ve sistemlerinde güvenlik açıkları ve sızıntılar ortaya çıkarıldı.
Intertrust tarafından geçtiğimiz Eylül ayında yayınlanan bir araştırmaya göre, COVID-19 temas izleme uygulamalarının yaklaşık yüzde 85’i bir şekilde veri sızdırıyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
30 Ekim 2020 tarihinde, Kandilli verilerine göre Ege Denizi açıklarında 6,9 şiddetinde meydana gelen depremde 115 kişi hayatını kaybetti. Depremden günler sonra küçük yaştaki çocukların kurtarılmasına yönelik haberler gerek basında gerekse sosyal medyada büyük bir heyecanla karşılandı. Bir yandan ölü ve yaralı sayısının arttığı, bir yandan da küçük çocukların kurtarılmasıyla ‘mucizelerin’ gerçekleştiği yönündeki haberler de tüm medya organlarda kendine yer buldu.
Basın kuruluşlarının haberlerinde ve sosyal medya paylaşımlarında ‘çocukların’ bu şekilde kullanılması ise tartışma konusu oldu. Söz konusu çocukların fotoğraf ve videolarının paylaşımlarının artmasıyla birlikte, basın özgürlüğünün sınırlarının aşıldığı konusunda uyarılar yapıldı. Paylaşıma sunulan fotoğraflar ve videoların, gelecekte çocukların karşısına çıkması halinde çocuklarda yaratacağı olumsuz etkilerin göz önünde bulundurulması gerektiği konusunu gündeme getiren İstanbul Barosu ve birçok farklı disiplinden uzmanlar, aynı zamanda yapılan paylaşımların “suç teşkil ettiğini” iddia eden açıklamalar da yayınladılar.
Söz konusu depremden mağdur olan çocukların haberlerinin yapılmasının, Türkiye’nin de taraf olduğu BM Çocuk Hakları Sözleşmesi’nin ve Anayasa’nın 41. maddesindeki ifadeyle çocuğun üstün yararının ihlal edildiği, kişilik hakkının korunmadığı gibi sonuçları doğurduğu söylendi.
Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında konunun aslını, yapılan paylaşımlara hangi perspektiften yaklaşılması gerektiği, çocuğun üstün yararının ihlal edilip edilmediğini, çocukların, basınla bağlantılı olan unutulma hakkını kullanıp kullanamayacağını ve tüm hukuki süreçleri Kavlak Avukatlık Bürosu’ndan Av. Deniz Mina Küpana ile konuştuk.
İFADE ÖZGÜRLÜĞÜNÜN SINIRINI DOĞRU BELİRLEMEK ÖNEMLİ
Doğal afetler gibi kamunun bilgi sahibi olması gereken durumlar yaşandığında basın vb. kanallarda sıkça gördüğümüz kişilere ait fotoğraf vb. kişisel veriler ile ilgili Av. Deniz Mina Küpana, “Afet, deprem veya kamunun bilgi sahibi olması gereken herhangi bir durum olduğunda, KVKK’nın 28.maddesi kapsamında basın özgürlüğü istisnası devreye girecektir. Buna göre özel hayatı ve kişilik haklarını ihlal etmemek kaydı ile ifade özgürlüğünün kullanılması halinde KVKK’nın hükümleri uygulanmaz. Fakat burada ifade özgürlüğünün sınırı yani haber değeri olan ve kamunun gerçekten de bilgilendirilmesi gereken halleri iyi belirliyor olmamız gerekir. Özellikle de muhatap bir çocuk ise burada özel hayatın ihlali ve ifade özgürlüğü dengesini çok doğru kurmak daha da önemli hale gelecektir”
NEREDEN BAKMALIYIZ; ÇOCUĞUN ÜSTÜN YARARI MI KAMU MENFAATİ Mİ?
Ege Denizi’nde yaşanan deprem dolayısıyla deprem döneminde ve sonrasında basında ve sosyal medyada, özellikle 18 yaş altı mağdur depremzede çocukların fotoğrafları ve videolarının ölçüsüzce paylaşılmasıyla, kamu menfaati ve çocuğun üstün yararı konusundaki dengelerin bozulduğu, bunun kişilik haklarına ihlal oluşturabileceğini söyleyen Küpana, “Depremden sonra toplumun en hassas damarı olan çocukların umut verici kurtuluş fotoğrafları birçok platformda çokça paylaşıldı. Çocuklar konusunda işin rengi değişiyor. İngiltere’de çocukların kişisel verileriyle ilgili daha çok yeni bir Yasa kabul edildi. Bu yasada çocuklar, toplum içerisinde daha fazla dezavantajlı ve daha hassas bir konumda olduklarından gerek çevrimiçi gerekse çevrimdışı ortamlarda nasıl korunacaklarına ilişkin temel yaklaşımlar belirlendi. Bu Regülasyonun getirilişindeki en temel amaç ise bu yaş grubuna yetişkinlerden daha farklı bir muamele yapılması gerekliliği idi. Türkiye’de çocukların mahremiyeti özelinde benzer bir yasal düzenleme var mı sorusu üzerine ise Küpana, Birleşmiş Milletler’in Çocuk Hakları Sözleşmesini hatırlatıyor. “Çocuğun üstün yararı kavramı çok önemli, çocuğun bedensel, fikri ve ahlaki bakımdan en iyi şekilde gelişebilmesi ve böyle bir gelişmenin gerçekleştirilmesi için, çocuğa sosyal, ekonomik ve kültürel koşulların sağlanmış olmasını içeriyor. Bu yüzden de çocuğun üstün yararını göz önüne alırken, onun bedensel, zihinsel, ruhsal, ahlaki ve toplumsal gelişiminin sağlanması amacının gözetilmesi gerekiyor. Paylaşılan fotoğraf ve videolarda önce buraya bakmamız gerekiyor. Yapılan haberlerde kamu menfaati ve çocukların üstün yararı dengesi ne kadar gözetildi? Çocukların özel hayatına saygı duyuldu mu? Çocukların üstün yararını gözetecek, eldeki iki menfaati dengede tutacak bir bakış açısı yakalamamız gerekiyor” dedi.
UNUTULMA HAKKI DEVREYE GİREBİLİR
Avrupa’da “the right to be forgotten” olarak tanımlanan unutulma hakkı en kısa şekli ile kişinin internet arama sonuçlarında kendisi ile ilgili çıkan haber, fotoğraf, video, bilgi vb. gibi verilerin artık internet arama sonuçlarında olmasını istememe hakkı olarak biliniyor. Söz konusu durumda çocukların “unutulma hakkı”nı talep edip edemeyeceğine yönelik soruyu yanıtlayan Küpana, “Bir de unutulma hakkı konusu var. Bu konu ‘Sosyal Medya Yasası’ ile birlikte gündeme geldi. Unutulma hakkı elbette ‘bunu kaldırın, bunu görmek istemiyorum’ gibi bir şey değil. Kimsenin öğrenmesinde menfaat kalmamış bir kişisel veri internet ortamında varlığını sürdürmesi ile orada kişiyi ayrımcılığa tabi tutuyorsa, kişiyi daha dezavantajlı konuma sokuyorsa, daha da mağduriyet yaşayacağı bir duruma büründürüyorsa verilerinin silinmesini talep etme hakkı kişiye tanınıyor. Önümüzdeki yıllarda mağdur çocukların da böyle bir hak talebiyle gelmesi çok muhtemeldir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kamuoyunda ‘Sosyal Medya Yasası’ olarak bilinen ve sosyal medya şirketleri başta olmak üzere teknoloji şirketlerine bir dizi yaptırım ve düzenleme getiren yasanın birçok maddesi bugün itibariyle yürürlüğe giriyor. Temmuz ayında TBMM Genel Kurulunda kabul edilen düzenleme günlük erişimi 1 milyondan fazla olan Facebook, Twitter, Instagram, YouTube, Tiktok gibi yurt dışı kaynaklı sosyal ağ sağlayıcılar ile kullanıcılar arasındaki ilişkiyi düzenlemeyi amaçlıyor.
Bir yandan ifade hürriyetinin kısıtlanması ve sosyal medyaya sansür uygulanması amacıyla kullanılabileceği için eleştirilen yasal düzenleme diğer taraftan internet kullanıcılarının kişisel başvurularında veya kamu kurumlarının bildirimlerinde yaşanan zorlukların aşılması için sosyal ağ sağlayıcılarla muhataplık ilişkisi kurulmasını sağlayacak.
SOSYAL AĞ SAĞLAYICI NEDİR? WHATSAPP YASA KAPSAMINDA MI?
Yeni yasanın getirdiği yeniliklerin başında ‘sosyal ağ sağlayıcı’ kavramı bulunuyor. 5651 sayılı ‘İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’ ile hayatımıza giren ‘yer sağlayıcı’ ‘içerik sağlayıcı’ ve ‘erişim sağlayıcı’ gibi kavramlara ek olarak yasada tanımlanan ‘sosyal ağ sağlayıcı’ sosyal etkileşim amacıyla kullanıcıların internet ortamında metin, görüntü, ses, konum gibi verileri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkân sağlayan gerçek veya tüzel kişileri ifade ediyor.
Yasa teklifinin kamuoyuna sunulmasının ardından tartışılan konulardan bir tanesi, sosyal ağ sağlayıcı kavramının içine Whatsapp gibi mesajlaşma uygulamalarının girip girmeyeceği idi. Konuyu yorumlayan hukukçular WhatsApp’ın bir sosyal mecra değil kişiler arasındaki iletişimi sağlamaya yarayan bir teknoloji olduğundan yasanın kapsamının dışında olduğu görüşünde birleşiyor.
TEMSİLCİLİK İLE MUHATAPLIK İLİŞKİSİ KURULACAK
Yasanın internet kullanıcılarına ne gibi değişiklikler getireceği ile ilgili değerlendirmelerini Siber Bülten ile paylaşan Kavlak Avukatlık Bürosundan Av.Deniz Mina Küpana, yasa ile sosyal medyada kişilik haklarını zedeleyen içeriklerin kaldırılmasının hızlanacağını ve sosyal ağ sağlayıcılar ile hem devlet hem de kullanıcılar arasında bir muhataplık ilişkisi kurulacağını ifade etti.
“Yasa ile gelen önemli değişikliklerden bir tanesi, günlük erişimi 1 milyondan fazla olan yurt dışı kaynaklı sosyal ağ sağlayıcılarının Türkiye’de en az bir kişiyi temsilci olarak belirlemesinin zorunlu hale gelmesi. Bilgi Teknolojileri Kurumu (BTK) ve adli ve idari makamlar nezdinde bu kişi temsilci olacak. Temsilcilik ile sosyal ağ sağlayıcıların Türkiye’deki mevzuatlara uyumu sağlanacak. Türkiye’deki kanunlara riayet ederek faaliyetlerine devam edecekler.”
VERİ LOKALİZASYONU GENEL BİR STRATEJİNİN SONUCU
Yasa ile şirketlere gelen yükümlülüklerden başka bir tanesi de Türkiye’deki kullanıcılardan elde edilen verilerin Türkiye’de tutulması gerekliliği. Yeni yasada sosyal ağ sağlayıcılarının Türkiye’deki kullanıcı verilerini Türkiye’de bulundurmak için “gerekli tedbirleri alacağı” hükmediliyor.
Deniz Mina Küpana, yasadaki bu hükmü Ankara’nın ‘Türkiye’nin verisi Türkiye’de kalacak’ stratejisi çerçevesinde atılmış bir adım olarak değerlendiriyor. Geçtiğimiz senelerde Kişisel Verileri Koruma Kurumu’nun kurumsal e-posta hizmetinin yabancı bir ülkede bulunan bir sunucu üzerinden verilmesini ‘verilerin yurtdışına aktarılması’ olarak gören kararını hatırlatan Küpana, 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesinin de bu kararla aynı çerçevede olduğunu belirtti.
Cumhurbaşkanlığı genelgesinde güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin, yurt içinde güvenli bir şekilde depolanması şartı getirilmişti.
UNUTULMA HAKKI TALEBİ ARTIK YASAL
Kamuoyu tarafından her ne kadar ‘Sosyal Medya Yasası’ olarak anılsa da yeni yasanın arama motorlarını ilgilendiren tarafları da bulunuyor. Bunların başında unutulma hakkı geliyor.
Unutulma hakkı kişi ve kurumların internette kendi adlarıyla arama yapıldığında derlenen sonuçlar arasında kendileriyle ilgili bilgi, fotoğraf, belge gibi verilere yer verilmemesini isteme hakkı olarak biliniyor.
Avrupa Birliği (AB) Adalet Divanı’nın verdiği ve ‘Gonzalez kararı’ olarak bilinen karara göre özel hayatın gizliliğini korumak amacıyla Google arama motorunun kişisel arama sonuçlarını silmesi gerekiyor. Dava, evinin açık artırmaya çıkarıldığına dair bir ilanın Google arama sonuçlarında çıkmasıyla gizliliğin ihlal edildiğini savunan İspanyol kullanıcı Mario Costeja Gonzalez tarafından açılmıştı. Google uzun bir hukuki sürecin sonunda kararı kabul etmiş ve unutulma hakkını AB ülkelerinde tanımıştı.
Deniz Mina Küpana, yasadaki değişiklikle birlikte unutulma hakkının sulh ceza hakimliği nezdinde talep edilebilecek bir hak haline geleceğini belirtti. 5651 no’lu yasanın mevcut halinde içeriklerin erişime engellenmesi hakkının bulunduğunu belirten Küpana, değişiklik ile birlikte erişim engellenmesinin uygulamada yarattığı sorunların da önüne geçilebileceğini ekledi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye’de kişisel verileri işleyen tüm şirketleri ilgilendiren VERBİS nedir? VERBİS’e nasıl kayıt yapılır? Son kayıt tarihi ne zaman? VERBİS’e kayıt tarihleri neden sürekli erteleniyor?
Kişisel Verileri Koruma Kurulu (Kurul) tarafından 2018 yılından bu yana zorunlu hale getirilen VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce kaydolmaları gereken bir sicil kayıt sistemi olarak tanımlanabilir. Türkiye’de veri güvenliği açısından önemli bir eşik olarak görülen VERBİS sayesinde, kişisel veri toplayan ve işleyen tüm şirketler, bundan böyle verileri işlemeden önce herkesin erişimine açık bir sisteme yani VERBİS’e envanter girişi yapmak zorunda.
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketler, 30 Eylül 2020 tarihine kadar VERBİS’e kayıt yaptırmak zorundalar. VERBİS’in veri güvenliği açısından sağlayacağı faydaları ve veri işleyen şirketlerin sorumluluklarınıKavlak Avukatlık Bürosu’ndan Av. Deniz Mina Küpana ile konuştuk.
“HERKESİN ERİŞİMİNE VE KAMUOYU DENETİMİNE AÇIK”
VERBİS’in tüm yurttaşların erişimine açık olduğunu söyleyen Küpana, “Gündelik yaşamda karşımıza çıkan pek çok şirket, dijital alanda kişisel verileri kullanarak işlem yapıyor. VERBİS, bu verilerin ne amaçla kullanıldığını ne düzeyde kullanıldığını ve ne tür bir kategorizasyon ile depolandığını alenen denetlememizi sağlıyor. Yani bugün herhangi bir yurttaş VERBİS’in sistemine girerek alışveriş yaptığı bir şirketin, ne tür kişisel bilgileri kayıt altına aldığını görebilir” dedi.
KÜÇÜK ŞİRKETLERİ DE KAPSIYOR
Sistemin sadece büyük şirketleri kapsamadığını belirten Küpana, “Bazı şirketler, çalışan kişi sayısı ve yıllık cirosu bakımından küçük olsa da faaliyet gösterdiği alan dolayısıyla kişisel verileri kullanıyor. Örneğin sağlık sektöründe faaliyet gösteren küçük çaplı şirketler, pek çok kişinin sağlık bilgilerini, özel bir takım kişisel bilgilerini depoluyor. KVKK, bu tarz şirketlerin de büyüklüklerine bakmadan kişisel verileri depoladıkları için sisteme kayıt olmaları zorunlu tutuyor” şeklinde konuştu.
YURTTAŞLAR AÇISINDAN ÖNEMİ
Sistemin yurttaşlar açısından en önemli avantajının aleniyet olduğunu söyleyen Küpana, “Geçmişte kendi kişisel verilerimizin şirketler tarafından ne düzeyde depolandığını ve kullanıldığını bilmiyorduk. Örneğin siz bir uçak bileti alırken, şirkete verdiğiniz kişisel verilerin kaç yıl depolandığını, siz verdikten sonra aracı firmalara verilip verilmediğini ve bu bilgilerin ne amaçla kullanıldığını bilemezdiniz. Bu sistemle birlikte şirketlerin kişisel verileri ne sürede ve ne için depoladığını görebiliyorsunuz. Bunu görebildiğiniz için de bir başvuru hakkınız doğabiliyor. Geçmişte bu veri elimde olmadığı için böyle bir başvuru hakkım da yoktu” ifadelerini kullandı.
ŞİRKETLER AÇISINDAN ÖNEMİ
VERBİS’in şirketler açısından da önemli değişikliklere yol açacağını belirten Küpana, “VERBİS, şirketlerin sahip oldukları bilgileri düzenleme, kontrol etme ve hangi bilginin neden o şirkette yer aldığını bir kurala bağlaması açısından önemli. Bu yolla bir şirket, aslında kendisine bir nevi ‘anayasa’ oluşturmuş oluyor. Yani ‘Ben şu bilgileri şu kadar yıl şu amaçlarla tutarım’ diyebileceği bir kurallar bütününe sahip oluyor. Şu an şirketlerin büyük bölümünde pek çok bilginin ne işe yaradığı, neden orada olduğu ve ne kadar daha orada kalacağına dair bir sistem oturmuş değil. VERBİS sayesinde bu anlamda bir sadeleşme ve kurala bağlanma söz konusu” dedi.
VERBİS’TE SON KAYIT TARİHİ NEDEN SÜREKLİ ERTELENİYOR?
Şirketlere son kayıt için verilen sürenin tam üç kez ertelendiğini hatırlatan Küpana, “VERBİS’e kayıt için belirlenen ilk son tarih olarak 2019’un Eylül ayı belirtilmişti. Daha sonra süre Aralık 2019 tarihine ertelendi. Bunu takiben Kurul’un yapmış olduğu bir açıklama ile VERBİS kayıt sürecinin şirketler tarafından doğru anlaşılamaması sebebi ile sürenin 2020’nin 6. ayına ertelendiği duyuruldu. Sonrasında ise pandemi nedeniyle Eylül ayı sonuna ertelendi. Bu ayın sonuna kadar kişisel verileri depolayan ve işleyen tüm kuruluşlar sicil kaydını yapıp envanter girişini tamamlamak zorunda. Fakat ertelemenin kaynağındaki sorun da tam olarak bu. Yani şirketler buna bir türlü hazır olamadı. Kurul tarafından yapılan incelemelerde şirketlerin sisteme henüz hazır olmadığı ve usulüne uygun envanter giremediği belirtilmişti. Bu nedenle Kurul da artık VERBİS’in anlaşılmasını ve gerekli şekillerde envanter girişi yapılmasını bekliyor” ifadelerini kullandı.
VERBİS’TE SİCİL KAYDI NASIL YAPILIR?
Yurt içi ve yurt dışında yerleşik veri sorumluları için son kayıt tarihi 30 Eylül olan VERBİS sistemine kayıt olmak için öncelikle Kişisel Verileri Koruma Kurulu’nun internetsitesine girmeniz gerekiyor. Ardından ana sayfada bulunanVERBİS başlığına tıklamanız ve çıkan formda ilgili alanları doldurarak kaydınız tamamlamanız gerekiyor. Kaydolan şirketin belirlediği irtibat kişisine sistem tarafından gönderilen kullanıcı adı ve şifresiyle sisteme giriş yapılabilecek. Sisteme girilen veriler istenildiği zaman düzeltilebilecek.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel verilerin güvenliği ile yasal düzenlemelerin etkilediği kesimlerin başında işi itibariyle kişisel verileri toplayan, saklayan ve işleyen meslek grupları geliyor. Avukatlar da meslekleri gereği farklı şekillerde kişisel veriler ile temas içinde bulunan gruplar arasında yer alıyor. Hatta kişisel verilerin avukatlık mesleğinin bir parçası haline geldiğini söylemek abartılı olmaz. Dolayısıyla, kişisel verilerin saklanması ve işlenmesine ilişkin düzenlemelerin kapsamında avukatlar da yer alıyor.
Durum böyle olmasına rağmen hem dünya da hem de Türkiye’de avukatlar veri ihlalleri ile sık sık gündeme geliyor. Yürürlüğe girdiği günden bu yana Facebook ve Microsoft gibi dünya devlerinde yaşanan veri ihlallerine ceza kesen Kişisel Verileri Koruma Kurumu’nda kişisel veriler ile ilgili düzenlemelere riayet etmeyen avukatlar da nasibini aldı.
BİR SMS’E 50 BİN TL CEZA
Geçtiğimiz sene bir avukata KVKK tarafından kesilen ceza uzun süre gündemdeki yerini korudu. Bir şirketler grubunun avukatlığını yapan kişi, gruba borçlu olan bir şahsın yeğenine borç meselesi ile ilgili SMS atınca konu KVKK’ya taşındı. Avukat işlemin bir personel hatası olduğunu savunsa da kurum bunu inandırıcı bulmadı ve avukata 50 bin TL ceza kesti. Kararın gerekçeleri arasında veri sorumlusu olan avukatın işleme düzenlemelerinden herhangi birine bağlı olmadan veriyi işlemesi yer aldı.
VERİ GÜVENLİĞİ İLKELERİ İÇSELLEŞTİRİLMELİ
Konuyla ilgili görüşlerine başvurduğumuz Kavlak Avukatlık Bürosu, yaptığı açıklamada avukatların kanuna göre ‘veri sorumlusu’ sıfatının bulunduğuna dikkat çekerek, avukatların kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülükleri olduğu vurgulandı.
KVKK, web sitesinde yayınladığı “Veri Sorumlusu ve Veri İşleyen” başlıklı dokümanda da veri sorumlusunu net bir şekilde tanımlıyor:
“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”
Aynı dokümanda veri sorumlusunun aynı zamanda veri işleyen de olabileceğinin altı çizilerek, veri sorumlusunun tespiti için ‘toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı ve verilerin ne kadar süreyle saklanacağı’ gibi konularda karar verici olduğuna işaret ediliyor.
KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİNE 125 BİN TL CEZA
Avukatın veri sorumlusu olarak değerlendirildiği ve kanuna aykırı hareket ettiği için ceza aldığı bir başka olayda bu senenin başında yaşandı. KVKK’nın yayınladığı karar özetine göre, şikayetçi icra takibi yapan bir avukatlık bürosunun kendisine icra takibi ile ilgili attığı SMS’leri kardeşine de attığını belirterek durumu KVKK’ya taşıdı.
KVKK’nın savunmasını istediği avukat ise, KVKK’nın kamuoyu tarafından bilinmediği, içselleştirilmediği ve Kurul’un karar sayısının az olduğunu iddialarına savunmasında yer verdi. Savunma sonrasında KVKK avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerini yerine getirmediği ve genel ilkelere aykırı hareket ettiği sonucuna varılarak 125.000 TL idari para cezası uygulanmasına karar verdi.
Kararı değerlendiren Kavlak Avukatlık Bürosu uzmanları, KVKK’nın kararının başta ICO ve Avrupa’daki veri koruma otoritelerinin de konuya yaklaşımı ile benzeştiğini belirterek Kurul’un söz konusu kararındaki yaklaşım ve değerlendirmeleri de ilerleyen süreçler için emsal niteliğinde olabileceğine dikkat çekildi.
