1.  Giriş

6698 sayılı Kişisel Verilerin Korunması Kanununu (“KVKK”) kapsamında 19/07/2018 tarihli 2018/88 sayılı Kişisel Verileri Koruma Kurulu’nun kararına göre, veri sorumluları siciline kayıt yükümlülüğü getirilmiştir. 30/09/2019, söz konusu veri sorumluları sicili olarak adlandırılan VERBİS’e kayıt için son tarihtir.

Kişisel Verileri Koruma Kurulu’da kanun kapsamında görevleri kapsamında incelemeler yapmaya başlayıp, kanuna aykırı şekilde kişisel veri işleyen şirketlere de buna ilişkin idari para cezası uygulamalarına başlamıştır. Bu kapsamda, 16.05.2019 tarihinde 2019/143 sayılı karar gereğince Marriott International Inc.’e 1.450.000,00-TL ve 16.05.2019 tarihinde 2019/144 sayılı kararı ile Cathay Pasific Airway Limited’e 550.000,00-TL idari para cezası kesilmiştir.

2.  Verbis’e Kayıt Zorunluluğu

KVKK kapsamında, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Bu kapsamda getirilen istisnai durum ise, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi, Kurul tarafından belirlenen objektif kriterlerdir.

Önemle belirtmek gerekir ki, kişisel veri, kapsamı çok geniş olup, birçok verimiz bu kapsamda değerlendirilmektedir. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, kişisel veri olarak kabul edilmektedir.  Örneğin, ad, soyadı, doğum yeri, telefon numarası, e-posta adresi, özgeçmiş, grup üyelikleri, parmak izleri, görüntü ve ses kayıtları, sağlık bilgileri, aile bilgileri, bordro vs gibi birçok kişisel veri örneği mevcuttur.

Veri Sorumluları Sicili, söz konusu kişisel verileri kaydeden, saklayan veya işleyen veri sorumlularına, verilmiş bir yükümlülüktür. Bu kapsamda, aşağıda belirtilen kriterlere haiz olan veri sorumluları açısından, 30.09.2019 tarihi Veri Sorumluları Siciline kayıt için son tarihtir.

• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile,
• Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları

KVKK Kurulu, henüz yeni faaliyete geçmesine rağmen, bu tarihten sonra Veri Sorumluları Siciline (VERBİS) kayıt yapmamış gerçek veya tüzel kişilere yönelik büyük miktarda cezai işlemlere başlayacaktır.

3.  İdari Para Cezaları 

Yukarıda belirtildiği üzere,

• Aydınlatma yükümlülüğüne aykırılık halinde; 5.0000 TL’den 100.000 TL’ye kadar,
• Veri sorumlusuna tanımlanan görevlerin yapılmaması halinde; 15.000 TL’den 1.000.000 TL’ye kadar,
• Kurulun inceleme yapmak için taleplerinin yerine getirilmemesi halinde; 25.000 TL’den 1.000.000 TL’ye kadar,
• Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde; 20.000 TL’den 1.000.000 TL’ye kadar idari para cezaları veri sorumluları tarafından ödenecektir.

Bu kapsamda, veri ihlalleri durumunda, kamuya açık bir şekilde www.kvkk.gov.tr sitesinde şirketlerin ticari unvanıyla beraber, yapılmış olan tüm ihlaller ve bunlara yönelik Kurul kararları ilan edilmektedir.

16.05.2019 tarihinde Kurul tarafından veri ihlallerine yönelik olarak verilmiş iki karar mevcuttur.

 Marriott International Inc. Hakkında 2019/43 Sayılı Karar

2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc’i (Starwood) devralma işlemi gerçekleştirdiği; Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu; Starwood misafir veritabanının tutulduğu ağa Temmuz 2014’ten beri yetkisiz erişim olduğu; Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, söz konusu ihlalin 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu; ihlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu; ihlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu gerekçeleriyle KVKK madde 12, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında, 1.450.000,00 TL idari para cezası uygulamışlardır.

 Cathay Pasific Airway Limited Hakkına 2019/144 Sayılı Karar

13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği; Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği; saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği; saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı gerekçeleri ile KVKK Kurulu ihlalin Şirket tarafından haberdar olunmasına rağmen 2 ay sonra tespit edildiği, güvenlik açığı olduğunu gösterdiği; Şirketin gerekli denetim ve kontrolleri yapmadığı, bu nedenler KVKK madde 12 kapsamında gerekli teknik ve idari tedbirleri almayan Şirket hakkında 550.000,00 TL tutarında idari para cezası uygulanmıştır.

Bu nedenle kişisel veri işleyen veri sorumlularının kanun kapsamında belirtilen yükümlülüklere dikkatle uymasını, aksi halde, yüksek miktarda idari para cezaları ile karşılaşılacağını ve aynı zamanda Kurumun internet sitesinde de yapılan veri ihlallerinin kamuya açıklanacağını önemle hatırlatırız.

Saygılarımızla,
Gülaç Hukuk Bürosu