Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve 2020/58 Sayılı Karar Özeti


“Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve 2020/58 Sayılı Karar Özeti

 

Karar Tarihi : 27/01/2020
Karar No : 2020/58
Konu Özeti :Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

 

Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.

Konuya ilişkin Veri Sorumlusu Sigorta Acentesinden ihbarda yer verilen iddialara ilişkin savunması istenilmiş, alınan cevabi yazıda

  • Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı,
  • Kurumumuzca yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği,
  • Ayrıca poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı,
  • Konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabilecekleri

belirtilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/58 sayılı Kararı ile,

  • Veri sorumlusu Sigorta Acentesinin yaptığı sosyal medya paylaşımlarda müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi ayrıntılara da yer verildiği,
  • Veri sorumlusu tarafından ilgili paylaşımların şahsi Facebook hesabından ve “…….sigorta” adıyla açtığı ve poliçe paylaşımlarıyla birlikte çeşitli özel gün kutlamaları ve şahsi fotoğraflarını da paylaştığı, hesabın açıklama kısmında kendi adına da yer verdiği Instagram hesabından yapıldığı,
  • Kişisel verilerin işlenme şartlarının düzenlendiği 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun ifade edildiği,
  • Bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12 nci maddesi ile veri sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı

hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına

karar verilmiştir.