KVK KURULU'NUN KİŞİSEL VERİLERİN SORGULANMASINA İMKAN TANIYAN PROGRAMLARA YÖNELİK İLKE KARARI

Kişisel Verileri Koruma Kurulu; 29.11.2019 tarihinde, önce resmi gazetede ardından Kişisel Verilerin Korunması Kurumu’nun resmi internet sitesinde yayımlamış olduğu 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararı gereği hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyacak mahiyetteki yazılım/program/uygulamalara ilişkin kararlar almıştır.

İlk olarak; Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda; bu durumun Kişisel Verilerin Korunması Kanunu’nun Veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesine aykırılık teşkil ettiği anlaşılmış ve bu konuda oluşabilecek veri ihlallerine ilişkin;

1. Yukarıda yazılı mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirilmesine,

2. Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği hususlarında kamuoyunun bilgilendirilmesine,

3. 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

Muhtelif şekilde elde edilen kişisel verilerin; yazılım, program ya da uygulama teknolojisinden faydalanılarak veri sahiplerinin rızasının dışında bir veri havuzunda depolanması ve işlenmesi yerel ve uluslararası mevzuatla örtüşmediği gibi özel hayatın gizliliği, veri mahremiyeti ve güvenliği ilkelerine de tümden aykırıdır.

Kurul; resmi gazetede yayımlanan 2019/308 sayılı İlke Kararı ile kişisel verilerin sorgulanmasına imkan tanıyan uygulamaları kullananlar hakkında, Savcılığa doğrudan ihbar yoluyla suç duyurusunda bulunacağını ve Kişisel Verilerin Korunması Kanunu’nun 18. maddesi gereği 1.000.000,00 – TL ‘ye varan caydırıcı nitelikte idari para cezaları tesis edeceğini kamu oyuna duyurmuştur.