2022 yılının Mart ayında kişisel verilerin korunmasıyla ilgili olarak birçok gelişme yaşanmış olup, yaşanan önemli gelişmelerin özeti aşağıda bilgilerinize sunulmuştur.
YONCA SAĞLIK HİZMETLERİ VERİ İHLALİ BİLDİRİMİ
24 Mart 2022 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Yonca Sağlık Hizmetleri Limited Şirketi’nde (“Şirket”) meydana gelen veri ihlali kararı yayınlanmıştır.
Yayınlanan bildirimde özetle; 15 Mart 2022 tarihinde başlayan saldırının Şirket tarafından 16 Mart 2022 tarihinde tespit edildiği, siber saldırı incelendiğinde henüz saldırı tipinin tespit edilemediği, ancak anılan saldırıdan etkilenen yaklaşık 500.000 (Beş yüz bin) çalışan ve hasta olduğu, söz konusu veri ihlalinin konusunun; kimlik, iletişim, özlük, finans, mesleki deneyim, pazarlama bilgileri ve özel nitelikli kişisel veri olan sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler ve genetik veri olduğu belirtilmiştir.
Anılan bildirimde, özel nitelikli kişisel verilerin bulunması sebebi ile en kısa sürede saldırı tipinin ve etkilenen ilgililerin net bir şekilde tespit edilmesi kişisel verilerin korunması açısından oldukça büyük önem arz etmektedir. Kurum, Şirket’in incelemelere devam ettiği süreçte söz konusu durumun Şirket web sitesinde yayınlanarak ilgililere bildirilmesine karar vermiştir.
ANAYASA MAHKEMESİ’nin kişisel verilerin korunmasına ilişkin kararı
T.C. Anayasa Mahkemesi’ne (“Mahkeme”) yapılan başvuru doğrultusunda, Mahkeme tarafından 18.03.2022 tarihinde Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkının ihlal edildiğine dair karar verilmiştir.
Başvuruya konu hak ihlali şu şekildedir; eşler arası devam eden boşanma davası sırasında başvurucu eş hakkındaki sağlık verileri diğer eş tarafından ele geçirilerek mahkemeye delil olarak sunulmuştur.
Başvurucu eş tarafından, sağlık verilerinin mahkemeye delil olarak sunulması üzerine, Başsavcılık nezdinde eşi hakkında görevi kötüye kullanma, özel hayatın gizliliğini ihlali, kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve kişisel verilerin hukuka aykırı olarak paylaşılması iddiasıyla şikâyette bulunulmuştur.
Savcılık bu bilgiler doğrultusunda, şikayetçi olunan eşin ifadesine başvurmuştur. İlgili ifadede şikayetçi olunan eş; başvurucu eşin boşanma ve ceza davalarında başvurucu eşin evlilik hayatlarından kaynaklı sebeplerden dolayı sağlık sorunlarının arttığını iddia ettiğini, kendisinin de bu iddialar üzerine evlilik öncesi olan sağlık problemleri hakkında bilgi sahibi olmak adına eşi hakkında hastanede sorgulama yaptığını, birtakım rahatsızlıklara sahip olduğunu gördüğünü, ancak herhangi bir belge ya da çıktı almadığını belirtmiştir. Bunlara ek olarak, söz konusu durumun başvurucu eşin kişisel haklarını ihlal etme kastı ile yapmadığını aleyhine yapılan iddialar doğrultusunda yargılama esnasında kendisini koruma amacı ile hareket ettiğini belirtmiştir. Başsavcılık nezdinde kovuşturmaya yer olmadığına ilişkin karar verilmiştir. Başvurucu eş tarafından bu karara itiraz edilmiş, Sulh Ceza Hakimliğince verilen kararın usule ve mevzuata uygun olduğu gerekçesi ile itirazı reddedilmiştir.
Mahkeme tarafından yapılan değerlendirmede; başvurucu eşe ait tedavi bilgilerinin, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında özel nitelikli kişisel veri olarak tanımlanan sağlık verileri olduğu ve kişisel veri mahiyetindeki bilgilerin hukuka aykırı olarak ele geçirilmesinin mevzuatta açıkça suç teşkil ettiği belirtilmiştir.
Mahkeme; Kanun kapsamında işlenen kişisel verilerin aktarılmasının kişinin açık rızasına bağlı olduğunu, Kanun’un 6. maddesi kapsamında özel nitelikli kişisel veri sayılan sağlık verilerinin de maddede açıkça sayılan istisnalar dışında kişinin açık rızası olmaksızın işlenemeyeceği ve veri sorumlusunun da bu yönde tedbir alma yükümlülüğü bulunduğuna ilişkin değerlendirme yapmıştır.
Mahkeme yaptığı bu değerlendirmeler sonucunda; başvurucu eşin, diğer eşe sağlık verilerine ilişkin bilgi vermemesinin kişisel verilerinin üçüncü kişiler tarafından öğrenilmesine açık rızasının olmadığını göstermiş olduğunu, bu sebeple diğer eşin birinci dereceden yakını olması nedeniyle kişisel ve sağlık verilerine ulaşma hakkı istisnası kapsamına girmediğini ve bu değerlendirmeler sonucunda diğer eşin başvurucuya ait kişisel verileri elde etmesinin kişisel verilerin korunmasını isteme hakkının ihlali olduğuna karar vermiştir.
Anılan karar ile görüldüğü üzere, kişinin temel hak ve özgürlüğü olan özel hayatın gizliliğini ve kişisel verilerin korunmasını isteme hakkının kişinin durumu detaylı bir şekilde değerlendirilerek sıkı bir şekilde korunması gerekmektedir. Bu sebeple kişinin bu haklarına karşı bir müdahale vuku bulduğunda kamu makamları tarafından müdahale engellenerek kişinin temel haklarının korunması demokratik toplum getirileri açısından oldukça büyük önem arz etmektedir.
Kurum’un alışveriş merkezi kararı
Kişisel Verileri Koruma Kurulu’na (“Kurul”) gelen 17.02.2022 tarihli ihbar üzerine Kurul tarafından resen inceleme başlatılmıştır.
Kurul’a gelen ihbarda özetle; veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satışı sırasında e-devlet şifresinin istendiği, internet sitesinde ayrıca ödeme kısmının bulunduğu sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” şeklinde ibare bulunduğu ve söz konusu durumun 6698 sayılı Kanun’a aykırılık teşkil ettiği bildirilmiştir.
Veri sorumlusu Kurul’a yaptığı savunmada; web sitesinde satış hizmeti sunduğunu, bu sebeple satış sözleşmesinin gerekliliklerinden kaynaklanan verilerin işlendiğini, üyelerin ad, soyad, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri bilgilerinin işlendiğini, e-devlet şifresinin taraflarınca istenmediğini, söz konusu e-devlet şifresi içeren bildirimin jpg formatında kendileri ile ilgisi olmayan bir şekilde ilgili sayfaya konulduğunu ve taraflarınca fark edildiğinde ivedilikle ibarenin kaldırıldığını bildirmiştir.
Kurul, Kanun’un genel ilkeler, kişisel verilerin işlenme şartları ve veri güvenliğine ilişkin maddeleri doğrultusunda yaptığı değerlendirmede; her ne kadar veri sorumlusu tarafından E-devlet şifresinin talep edildiği ibarenin farklı bir alana ilişkin olduğu, jpg formatında olduğundan doldurulabilir bir özelliğinin bulunmadığı ve taraflarınca fark edilmesi üzerine ivedilikle kaldırıldığı iddia edilse de, ihbar dilekçesinde bulunan ekran görüntüsü incelendiğinde; söz konusu ibarenin jpg formatında olmadığı, ibare jpg formatında olsa bile veri sorumlusu tarafından ilgili olmayan sayfada bulunması nedeni ile kaldırılmasının veri sorumlusunun kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığı ve dolayısıyla gerekli teknik ve idari tedbirleri almadığını gösterdiğini belirtmiştir.
Aynı zamanda, e-devlet şifresinin anlam ifade edebilmesi adına kişilerin T.C. kimlik numaralarının da gerekli olduğu, bu sebeple müşteriler tarafından bu verinin de veri sorumlusuna sağlanmış olması gerektiği, ancak veri sorumlusu yaptığı savunmada T.C. kimlik numarasının işlendiğini belirtmese de Kurul’a iletilen aydınlatma metninde bu verinin de bulunduğu belirtilmiştir. T.C. kimlik numarasına ilişkin yapılan incelemeler sonucunda verinin üye olabilmek adına zorunluluk olarak gösterilerek işlenmesinde kişilerin rıza gösterdiği iddia edilse dahi koşul olarak ileri sürülen verinin işlenmesinde açık rızadan bahsedilemeyeceği ve üçüncü kişilerce bu verinin görülebilmesinin veri güvenliği açığı anlamına geldiği belirtilmiştir.
Kurul; yapılan incelemeler ve değerlendirmeler sonucunda, veri sorumlusunun e-devlet şifresini Kanun’un 5. maddesinde bulunan veri işleme şartlarından herhangi birine dayanmaksızın işlediği ve veri sorumlusu tarafından işlenen verilerin üçüncü kişilerce ulaşılabilir olmasının veri güvenliği açığı oluşturduğu gerekçesi ile veri sorumlusuna 300.000 (Üç Yüz Bin)TL idari para cezası uygulanmasına karar vermiştir.
Bunun yanında söz konusu verilerin imha edilmesi ve veri güvenliği açığının giderilmesi adına veri sorumlusuna 30 (otuz) günlük süre tanınmış olup kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu gerekçesi ile Kurul tarafından resen inceleme başlatılmıştır.
Sonuç
Yukarıda anılan kararlar ve bildiriler ışığında; 2022 Mart ayında kişisel verilerin korunması mevzuatının kamu makamları ve kişiler tarafından uygulanmasının, kişinin anayasal haklarının korunması ve temel hak ve özgürlüklerine halel gelmemesi için büyük önem gösterildiği kanaatindeyiz. Kişilerin anayasal haklarına dayanan bu derece önemli bir mevzuatın güçlendirilmesi ve uygulanması, kişilerin topluma ve kamu makamlarına olan güvenini arttıracağı ve hukuk devleti anlayışını güçlendireceği izahtan varestedir.
Av. Nil Merve Çelikbaş Şeker L.L.M.
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.