Kurul Kararına göre aydınlatma yükümlülüğünün yerine getirmemesinin idari yaptırıma bağlandığını belirten KVKK Uzmanı Ezgi Ergüneş Duran, sözlerine şöyle devam etti:
“Kurulumuzun bu konuda vermiş olduğu bir karara değinmek istiyorum. Bir bankanın aydınlatma metnine ilişkin verilen bir kararda; aydınlatma işleminin amaçları net olarak belirlenmemiş gibi muğlak bir ifade kullanılmış. Bunun yanı sıra yine hangi veri işleme şartına dayanılarak verinin işleneceği hususu da net olarak düzenlenmemiş. Ama Kurulumuz neticede aydınlatma yükümlülüğü yerine getirilmiş diyerek, bu hususta aydınlatma metninin usulüne uygun hale getirilmesi, aydınlatma tebliğine uygun hale getirilmesi hususunda ilgili veri sorumlusuna talimatta bulunmuştur.”
Kişisel Verileri Koruma Kanunu’nun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesinin de bir kabahat olarak düzenlendiğini dile getiren Ezgi Ergüneş Duran, “Bu kararda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, muhafazasını sağlamak ve kişisel verileri hukuka aykırı olarak erişimini önlemek için veri sorumlularının uygun güvenlik düzeni temin etmeye yönelik her türlü teknik ve idari tedbiri almaları gerektiği düzenlenmiştir” dedi.
12’nci madde de yer alan veri güvenliğine ilişkin yükümlülüklerin bir diğerinin ise, veri sorumlusunun kendi kurumu bünyesinde gerekli denetimleri yapma yükümlülüğü olduğuna değinen Duran, “Buna aykırı olarak hareket etmek yine bir kabahat olarak düzenleniyor. Yine elde ettiği kişisel verileri amacı dışında kullanması, bir başkasıyla paylaşması yine bir veri güvenliği ihlali olarak değerlendiriliyor. Son olarak da bazı durumlarda veri sorumlusu nezlindeki kişisel verilere üçüncü kişiler tarafından erişim söz konusu olduğunda, yani yetkisiz erişim olduğunda veri sorumlusunun hem ilgili kişiye hem de Kurul’a 72 saat içinde bildirim yükümlülüğü vardır. Bu yükümlülüğün yerine getirilmemesi yine veri güvenliği ihlali anlamına geliyor” ifadelerini kullanarak sözlerini şu şekilde tamamladı:
“Bir eczane tarafından bir hasta verisinin üçüncü kişilerle paylaşımına ilişkin kararda da yine veri güvenliğine ilişkin 12’nci maddenin 5’inci fıkrasında yer alan verilerin amacı dışında kullanılamayacağı ya da bir başkasına açıklanamayacağı yönünde hükmedilmiştir.”
VİDEO: 451
BAŞLIK: Kurul Kararlarına Göre İdari Yaptırım Uygulanacak Kabahatler
KONUŞMACI: Ezgi Ergüneş Duran – KVKK Uzmanı
ETKİNLİK: 3. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 12 Kasım 2020, Perşembe
YER: Kişisel Verileri Koruma Kurumu – Ankara