KVK Karar - 2020/935 • KVKK Karar

KVKK Karar » 2020/935

2020/935

08/12/2020

Sektör: Sigorta

Konu: Bir sigorta şirketinin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (“Çağrı Merkezi”) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, Veri Kaybı Önleme Sistemi (“DLP”) düzenli kontrolleri sırasında sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği, sehven iletilen poliçe muafiyet bildiriminde ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği, veri ihlalinden bir kişinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden bir kişinin etkilendiği, ihlalden etkilenen verilerin kimlik, iletişim ve sağlık bilgileri olduğu, veri sorumlusunun “en kısa sürede” (72 saat içerisinde) Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirilmesi, ilgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtilmesi göz önüne alınarak KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

Tüm Karar Metni

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

Sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (Çağrı Merkezi) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği,
Dolayısıyla gerçek kişiye ait sağlık verisinin, konunun tarafı olmayan başka bir müşteri ile paylaşıldığı,
Veri Kaybı Önleme Sistemi (DLP) düzenli kontrolleri sırasında, sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği ve ilgili birimlere aksiyon alınması için iletildiği,
Veri ihlalinden kimlik, iletişim ve sağlık kategorilerindeki kişisel verilerin etkilendiği,
Sehven iletilen poliçe muafiyet bildiriminde, ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği,
Bu rahatsızlıkların poliçe muafiyetinin, ilgili kişinin bu rahatsızlıklara sahip olması veya sahip olduğu şüphesi olması sebebiyle yazıldığından, ilgili kişinin sağlık verisinin işlendiği,
Veri ihlalinden veri sorumlusu müşterisi olan 1 kişinin etkilendiği,
Veri sorumlusunun Müşteri İletişim Merkezi çalışanlarının müşteriyle direkt temasta olduklarından dolayı düzenli eğitimlere tabi olduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 08/12/2020 tarih ve 2020/935 sayılı sayılı Kararı ile;

İhlalden 1 kişinin etkilendiği,
İhlalden etkilenen kişisel verilerin kimlik, iletişim ve sağlık bilgileri olduğu,
Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kurumumuza veri ihlalini bildirme yükümlülüğünü yerine getirdiği,
İlgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtildiği

hususları dikkate alındığında veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 inci maddesi kapsamında bu aşamada yapılacak bir işlem bulunmadığına, öte yandan veri sorumlusu tarafından ilgili kişiye bildirim yapılması ve söz konusu bildirimin yapıldığı ile bahse konu verilerin sehven gönderilen müşteri nezdinde silindiğine dair tevsik edici belgelerin Kurumuza iletilmesi hususunda talimatlandırılmasına karar verilmiştir.

Kaynak:

Bu kararla ilgili bir yazım hatası veya içeriğe dair bir eksik gördüyseniz bize geribildirimde bulunabilirsiniz.

Etiketler: Kimlik, Özel Nitelikli Kişisel Veri, Poliçe, Veri İhlal Bildirimi, Veri Kaybı Önleme Sistemi

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

Hemen Abone Olun

YORUMLAR

2020/935

Bu içerik abonelere özeldir

Siz de görüşünüzü belirtin Cevabı iptal et

Türkçe dilinde GDPR karar özetlerini görmek ister misin?