Kişisel Verileri Koruma Kurulundan Veri İhlallerine Ceza

7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kurulan Kişisel Verileri Koruma Kurumu, 12 Ocak 2017’de göreve başladı.

Kurumun karar organı Kişisel Verileri Koruma Kurulu, 2017 Haziran’dan itibaren karar verme sürecine geçti.

Kurul, veri sorumlularının kanuna uygun şekilde faaliyet göstermelerini sağlamak amacıyla kişisel verileri işlenen şahısların şikayetleri üzerine inceleme başlatırken gerekli hallerde resen inceleme yaptı.

Geçen yıl sonu itibarıyla Kurula 167’si veri ihlal bildirimi olmak üzere toplam 3 bin 585 başvuru yapıldı. Kurul, başvurulardan 2 bin 401’ini sonuçlandırdı. Kurul, veri ihlali tespitlerinde ise Kişisel Verilerin Korunması Kanunu hükümleri çerçevesinde idari para cezalarına hükmetti.

Kişisel Verileri Koruma Kurulu, 2019 sonu itibarıyla “veri güvenliğine ilişkin yükümlülükleri yerine getirmemek”, “ihlalleri belirlenen 72 saat içinde bildirmemek” gibi nedenlerden dolayı toplam 14 milyon 100 bin lira idari para cezası uyguladı.

Kurulun ceza örnekleri

Kişisel Verileri Koruma Kurulunun idari para cezasına hükmettiği veri sorumluları arasında uluslararası çalışma yürüten şirketler de yer aldı.

Kurul, ünlü sosyal paylaşım sitesi Facebook’la ilgili yaptığı incelemede veri ihlali sonucuna ulaştı. Kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf “API hatası” nedeniyle Facebook‘a veri güvenliğine ilişkin yükümlülükleri yerine getirmediği, ihlali süresinde bildirmediği gerekçesiyle toplam 1 milyon 650 bin lira ceza verilmişti.

Türkiye’den bin 286 kişinin etkilendiği, 155 kişinin pasaport numarasına erişildiği veri ihlali nedeniyle Hong Kong merkezli hava yolu şirketi Cathay Pasific’e de toplam 550 bin lira idari para cezası kesen Kurul, bir kişinin cep telefonuna izinsiz reklam içerikli mesaj gönderen doktoru da veri güvenliğine ilişkin yükümlülükleri yerine getirmediği gerekçesiyle 50 bin lira idari para cezasına çarptırmıştı.