EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Sigorta" etiketli kararlar

2021/584

09/06/2021
Konu: Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/389

20/04/2021
Konu: Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Kanunun 5’inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12’nci maddesinin 1 numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/333

05/04/2021
Konu: Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait bilgilerinin paylaşıldığı, üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, konuya ilişkin ilgili kişinin veri sorumlusuna yapmış olduğu başvuruya da cevap verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli tedbirleri aldığı ve aydınlatma metnini güncellediği; bununla birlikte hangi kişisel veri şartına dayandığı konusundaki eksikliğin giderilmesi hususunda ve ilgili kişilerin başvurularının uygun yanıtla sonuçlandırılması hususunda talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/241

18/03/2021
Konu: Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, veri sahibi olan ölenin poliçe ibrazının gerekli olması nedeniyle, çeşitli tarihlerde veri sorumlusundan söz konusu poliçelerin tesliminin talep edildiği, ancak veri sorumlusunun ilgili kişiye olan cevabı ile bunu reddettiği; bunun üzerine yeniden ihtarname düzenlenip veri sorumlusuna başvurulduğu ancak veri sorumlusunun talebi karşılamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, poliçeyi özetler bilgilerin de kişisel veri niteliği taşıdığı, veri sorumlusu tarafından poliçeyi özetler belgenin ilgili kişiye verildiği ve bu anlamda KVKK’nın 11’inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2021/205

09/03/2021
Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/187

04/03/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dahil olan çalışanlarına dair(sigortalılara) “Rapor” iletildiği, 28 müşteri şirkete diğer 31 müşteri şirketin çalışanlarına dair “Rapor” dosyası gönderildiği, ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği, ihlale konu yazılımın canlıya alınmadan önce test edildiği ve ihlalden etkilenen kişisel verilerin TCKN, mavi kart no, ad-soyad ve planlanan ara verme bitiş tarihi sözleşme durumu bilgileri olduğu ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde; veri ihlaline sebep olan sistemsel hatanın uygulama yazılımdan kaynaklanması sebebiyle Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) yer alan Bilgi Teknolojileri sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınmasının gerektiği, ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında yaklaşık 2 yıllık gecikmenin bulunması sebebiyle Rehberde belirtilen Kişisel Veri Güvenliğinin Takibine ilişkin yükümlüklere ilişkin olarak gerekli kontrol ve denetimlerin zamanında gerçekleştirilmemesi, ve ihlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edilmesi sebebiyle Rehberin Kişisel Veri Güvenliğinin Takibine ilişkin bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine ilişkin yükümlülüğü aykırılık teşkil ettiği belirtilmiştir.

Ceza: 125.000-TL idari para cezası uygulanmasına karar verilmiştir.

2021/154

25/02/2021
Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde; veri sorumlusu tarafından DLP sistemleri ile kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına iletilmesinin engelleneceğinin belirtilmesine rağmen söz konusu faaliyetin yapılmaması sebebiyle Kişisel Veri Güvenliği Rehberi’nin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği, eski çalışanın yaptığı aktarımların DLP raporuna yansımamış olması Rehberin Kişisel Veri Güvenliği Takibine ilişkin hükümlerine aykırılık teşkil ettiği, ihlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı göz önüne alınarak Rehberde belirtilen Çalışanların Eğitilmesi ve Farkındalık Çalışmalarına ilişkin hükümler uyarınca veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önem vermediğini gösterdiği belirtilmiştir. Bu kapsamda Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmasına karar verilmiştir.

2020/935

08/12/2020
Konu: Bir sigorta şirketinin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (“Çağrı Merkezi”) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, Veri Kaybı Önleme Sistemi (“DLP”) düzenli kontrolleri sırasında sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği, sehven iletilen poliçe muafiyet bildiriminde ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği, veri ihlalinden bir kişinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden bir kişinin etkilendiği, ihlalden etkilenen verilerin kimlik, iletişim ve sağlık bilgileri olduğu, veri sorumlusunun “en kısa sürede” (72 saat içerisinde) Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirilmesi, ilgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtilmesi göz önüne alınarak KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/905

24/11/2020
Konu: Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına ve KVKK’nın 12’nci maddesinin 5 numaralı fıkrasında yer verilen en kısa sürede bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi nedeniyle 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılmasına dayalı olarak 30.000,00-TL olmak üzere toplamda 330.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/667

03/09/2020
Konu: Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet dilekçesi kapsamında yapılan incelemeler sonucunda, ilgili kişi tarafından ailesi adına düzenlettiği sağlık poliçesini yenilemek amacıyla veri sorumlusu sigorta şirketine yaptığı başvurunun sağlık verilerinin işlenmesine ilişkin ilgili kişinin açık rızasının istenmesine ilişkin olarak, sağlık poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği ve poliçede yer alan sağlık verilerinin KVKK’nın 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenemeyeceği ve ancak açık rıza alınması yoluyla ileme faaliyetinin gerçekleştirilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.