EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sigorta sektörü ile ilgili kararlar

PS/00322/2021

04/02/2022
Konu: Veri sorumlusunun veri imha talebine uymaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre, veri sorumlusu, ilgili kişinin imha talebine uymamıştır. İlgili kişi, 2016’dan 2020’ye kadar çeşitli e-postalar yazdıklarını ve kişisel verilerinin silinmesini talep ettiğini iddia etti. Ek olarak, ilgili kişi e-postalarını 2020’de İspanyol Robinson Listesi’ne (pazarlama iletişimleri için bir devre dışı bırakma listesi) kaydettirdi. Ancak veri sahibi, bu taleplerin yanıtlanmadığını veya kabul edilmediğini iddia etti. Veri sorumlusu bu taleplere, ilgili kişinin bilgilerinin dosyada bulunmadığını belirterek yanıt verdiğini iddia etti. Ek olarak, pazarlamanın adı ve şirket logosuna sahip olmasına rağmen, pazarlama faaliyetinin aslında bir aracı sigorta acentesi ve dolayısıyla silme talebinin uygun alıcısı tarafından yürütüldüğü konusunda ilgili kişiyi bilgilendirdiğini iddia etmiştir. Veri sorumlusu işlenen tek bilginin yalnızca ilgili kişinin e-postası olduğunu, bu e-postanın kişiyi bireysel olarak tanımlamadığını ve bu nedenle kişisel veri olarak kabul edilmemesi gerektiğini iddia etti. Veri Koruma Otoritesi, e-postaların (telefon numaralarının yanı sıra) kayıtlı oldukları adı içermemesine rağmen, kişiyle doğrudan bir bağlantısı olduğunu ve onları tanımlanabilir kıldığını ve bu nedenle, burada oluşturulan tanım kapsamında kişisel veri olarak kabul edildiğini belirtti. İlgili kişinin e-postalarını İspanyol Robinson Listesine kaydettirmesinin, pazarlama iletişimlerini almayı kabul etmediğinin açık bir göstergesi olduğuna karar verdi. Bu nedenle, sigorta şirketi adına bu e-postaların sürekli olarak alınması, ihlale sebep oluşturmuştur.

Ceza: 300.000 EURO para cezası verilmiştir.

2021/1262

16/12/2021
Konu: Sigorta şirketinin banka verilerini hukuka aykırı şekilde işlemesi ve kişisel verilerinin yok edilmesi talebinin cevaplanmaması konulu kurul kararı.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette sigorta şirketinin hukuka aykırı olarak banka verilerini işlediği ve vekil aracılığıyla yaptığı kişisel verilerinin yok edilmesi başvurusunun yanıtsız bırakıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sigorta şirketinin işlediği banka verilerinin KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında kanuni yükümlülükten ötürü işlediğine karar verilmiştir. Veri sorumlusunun ilgili kişinin vekilinin vekaletnamesinde “özel yetki” şartı aranması dolayısıyla başvurusunu cevapsız bırakması noktasında ise vekaletnamede “özel yetki” şartının aranamayacağını belirterek Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi kapsamında red işleminin gerekçesinin açıklanarak yapılması konusunda veri sorumlusunu talimatlandırmıştır.

Ceza: İdari para cezası verilmemiştir.

2021/389

20/04/2021
Konu: Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Kanunun 5’inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12’nci maddesinin 1 numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/187

04/03/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dahil olan çalışanlarına dair(sigortalılara) “Rapor” iletildiği, 28 müşteri şirkete diğer 31 müşteri şirketin çalışanlarına dair “Rapor” dosyası gönderildiği, ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği, ihlale konu yazılımın canlıya alınmadan önce test edildiği ve ihlalden etkilenen kişisel verilerin TCKN, mavi kart no, ad-soyad ve planlanan ara verme bitiş tarihi sözleşme durumu bilgileri olduğu ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde; veri ihlaline sebep olan sistemsel hatanın uygulama yazılımdan kaynaklanması sebebiyle Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) yer alan Bilgi Teknolojileri sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınmasının gerektiği, ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında yaklaşık 2 yıllık gecikmenin bulunması sebebiyle Rehberde belirtilen Kişisel Veri Güvenliğinin Takibine ilişkin yükümlüklere ilişkin olarak gerekli kontrol ve denetimlerin zamanında gerçekleştirilmemesi, ve ihlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edilmesi sebebiyle Rehberin Kişisel Veri Güvenliğinin Takibine ilişkin bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine ilişkin yükümlülüğü aykırılık teşkil ettiği belirtilmiştir.

Ceza: 125.000-TL idari para cezası uygulanmasına karar verilmiştir.

2021/154

25/02/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde; veri sorumlusu tarafından DLP sistemleri ile kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına iletilmesinin engelleneceğinin belirtilmesine rağmen söz konusu faaliyetin yapılmaması sebebiyle Kişisel Veri Güvenliği Rehberi’nin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği, eski çalışanın yaptığı aktarımların DLP raporuna yansımamış olması Rehberin Kişisel Veri Güvenliği Takibine ilişkin hükümlerine aykırılık teşkil ettiği, ihlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı göz önüne alınarak Rehberde belirtilen Çalışanların Eğitilmesi ve Farkındalık Çalışmalarına ilişkin hükümler uyarınca veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önem vermediğini gösterdiği belirtilmiştir. Bu kapsamda Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmasına karar verilmiştir.

2020/935

08/12/2020
Konu: Bir sigorta şirketinin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (“Çağrı Merkezi”) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, Veri Kaybı Önleme Sistemi (“DLP”) düzenli kontrolleri sırasında sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği, sehven iletilen poliçe muafiyet bildiriminde ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği, veri ihlalinden bir kişinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden bir kişinin etkilendiği, ihlalden etkilenen verilerin kimlik, iletişim ve sağlık bilgileri olduğu, veri sorumlusunun “en kısa sürede” (72 saat içerisinde) Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirilmesi, ilgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtilmesi göz önüne alınarak KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/905

24/11/2020
Konu: Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına ve KVKK’nın 12’nci maddesinin 5 numaralı fıkrasında yer verilen en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılmasına dayalı olarak 30.000,00-TL olmak üzere toplamda 330.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/667

03/09/2020
Konu: Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet dilekçesi kapsamında yapılan incelemeler sonucunda, ilgili kişi tarafından ailesi adına düzenlettiği sağlık poliçesini yenilemek amacıyla veri sorumlusu sigorta şirketine yaptığı başvurunun sağlık verilerinin işlenmesine ilişkin ilgili kişinin açık rızasının istenmesine ilişkin olarak, sağlık poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği ve poliçede yer alan sağlık verilerinin KVKK’nın 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenemeyeceği ve ancak açık rıza alınması yoluyla ileme faaliyetinin gerçekleştirilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.

2020/511

30/06/2020
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: KVKK’nın 18’nci maddesinin 1 numaralı fırkasının b bendi uarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/466

16/06/2020
Konu: Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla ihlalin gerçekleştiği, acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği, ihlalden etkilenen kişi sayısının 172 olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde veri işleyen tarafından anti-virüs yazılımının kullanılmaması, güncel Windows işletim sisteminin kullanılmaması, sızma testlerinin yapılmadığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 172.000,00-TL idari para cezası uygulanmasına karar verilmiştir.