Geçtiğimiz perşembe günü Resmi gazetede önemli bir karar yayınlandı [1] [2]. Buna göre Kişisel Verileri Koruma Kurumu (KVKK), muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyan yazılım, program veya uygulamaları kullananlar hakkında savcılıklara suç duyurusunda bulunacak.
Kişisel Verileri Koruma Kurulu kararında, yapılan ihbarlar kapsamında avukatlar, hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta ve benzeri sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından, muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyan yazılım, program veya uygulamaların kullanılmakta olduğunun tespit edildiği belirtildi.
Hatırlanacağı üzere avukatlar, emlakçılar ve çeşitli meslekler açtıkları davalar ya da işleri ile ilgili olarak kişisel verileri el altından elde ediyorlar. Bunlar için ortada dolaşan eskiden CD, şimdi USB ile dağıtılan veriler oluyor. Kurul temmuz ayında, bu şekilde bir olaya 50 bin TL idari ceza vermişti [3].
Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12’nci maddesi hükümlerine aykırılık oluşturduğu dikkate alındı. Yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesi için bu mahiyetteki yazılım, program veya uygulamaları kullandığı tespit edilenler hakkında, Türk Ceza Kanunu kapsamında gerekli adli işlemlerin yapılması için cumhuriyet başsavcılıklarına ihbarda bulunulmasına karar verildi.
Kurul ayrıca görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesi hükmü çerçevesinde idari işlem uygulanmasını da karar verdi.
2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu kapsamında veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15 bin liradan 1 milyon liraya kadar idari ceza uygulanabiliyor.
Kurula 2017-2019 ekim arasında 129 “veri ihlali” bildirimi yapıldığı ve yaklaşık 3 milyon kişinin bundan etkilendiği bildirilmişti.
[1] Kurul Kararı
[3] Borçlunun Yeğenine Mesaj Atan Avukata Kişisel Verileri İhlal Cezası