Güncel BilgilerKişisel Verileri Koruma Kurulu, Sağlık Sektöründe Faaliyet Gösteren Bir Şirketin Veri İhlal Bildirimine İlişkin 2020/787 sayılı Kararı Verdi.

9 Şubat 2021

Kişisel Verileri Koruma Kurulu (“Kurul”), sağlık sektöründe faaliyet gösteren bir veri sorumlusunun (“Veri Sorumlusu”) yapmış olduğu veri ihlali bildirimine ilişkin 09.10.2020 tarihli ve 2020/787 sayılı kararı (“Karar”) verdi.

Kararda, Veri Sorumlusunun sunduğu veri ihlal bildirimi kapsamında, (i) 30.09.2020 tarihinde başlayan söz konusu veri ihlalinin dünyada yaygın olarak kullanılan ve Veri Sorumlusunun da kullandığı bir uygulamadaki açıktan yararlanılması neticesinde gerçekleştiği; (ii) ihlalin 05.10.2020 tarihinde fark edilerek aynı tarihte sona erdiğinin belirtildiği; (iii) ihlalden önceki son bir yılda çalışanların aldığı eğitimler ile ihlalden önce ve sonra alınan teknik ve idari tedbirleri gösteren tevsik edici belgelerin Kurula sunulduğu; (iv) ihlalden etkilenen ilgili kişilere Kurul’a yapılan bildirimden itibaren 3 gün içinde bildirim yapılacağı bilgisi verildiği belirtilmiştir.

Kurul, Veri Sorumlusunun ihlale ilişkin sunduğu bildirime ilişkin yaptığı değerlendirmede,

  • Veri ihlalinin yaygın olarak kullanılan bir uygulamada bulunan açık nedeniyle gerçekleşmiş olduğu, Veri Sorumlusunun bu duruma müdahale edemeyeceği;
  • Veri Sorumlusunun ihlali kısa sürede fark ettiği;
  • Veri ihlalinden etkilenen kişisel verilerin şahıs şirketi kaşelerinde ve kamuya açık kaynaklarda yer almasından ötürü rahatlıkla erişilebilir veriler olduğu;
  • Kurula ihlal bildirimi yapılmasından en geç üç gün sonra İlgili kişilere bildirim yapılacağının Veri Sorumlusu tarafından belirtildiği;
  • Veri ihlalinin ilgili kişiler için olumsuz sonuç doğurma riskinin düşük olduğu;
  • Veri Sorumlusunun makul derecede idari ve teknik tedbirleri aldığı

tespitlerinde bulunmuştur.

Kurul, yapmış olduğu tespitlerin ışığında, ihlal bildiriminin ilgili kişilere yapıldığını tevsik edici belgelerin sunulması kaydıyla veri ihlaline ilişkin olarak Veri Sorumlusuna 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca ilave yaptırım uygulanmayacağına karar verdi.

Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/Icerik/6860/2020-787