Veri koruma ihlaline af yok! GDPR’ye uymayanlara ceza

Avrupa, veri güvenliğinde hassasiyeti yükseltiyor. Portekiz’de Veri Koruma Otoritesi, hasta bilgilerini ‘Avrupa Veri Koruma Tüzüğü’ne aykırı şekilde kullandığı tespit edilen bir hastaneye 400 bin Euro ceza verdi. Türkiye’de de Kişisel Verilerin Korunması Kanunu, para ve hapis cezasına kadar ağır yaptırımlar getirdi.

Veri güvenliği ihlaline af yok! GDPR ye uymayanlara ceza

KPMG Türkiye Hukuk Bölüm Başkanı Onur Küçük, “Avrupa Birliği’nin, Mayıs ayında uygulamaya giren düzenlemeyle birlikte kişisel verileri yasal korumaya alması ağır para cezalarını beraberinde getirdi. Türkiye’deki kurumlar da veri güvenliğini gözden geçirmeli” dedi.

Portekiz Veri Koruma Otoritesi’nin, geçtiğimiz aylarda Barreiro Hastanesi’ne, Avrupa Birliği’nin ‘Avrupa Veri Koruma Tüzüğü’ne (GDPR) aykırı eylemlerde bulundukları gerekçesiyle verdiği 400 bin Euro’luk ceza, Avrupa’daki veri ihlali tartışmalarını yeniden alevlendirdi.

Ekim ayı sonuna kadar kamuoyundan gizli tutulan olay, hastanenin cezaya itiraz edeceğini açıklamasıyla başta yerel basın olmak üzere, Avrupa medyasında yer buldu. Veri Koruma Otoritesi, yürüttüğü soruşturma sonucunda hastane çalışanlarının sahte profillerle yetkisiz şekilde hasta bilgilerine eriştiğini belirledi.

Hastanenin kadrosunda 296 doktor bulunmasına rağmen, kullanıcı yönetimi için kullanılan sistemde 985 erişim olduğu ve hastanede çalışan personelin sahte profiller aracılığı ile yetkisiz olarak hasta bilgilerine eriştiği ortaya çıktı. Bununla beraber, arşivlenen hasta verilerinin başka hastanelerle paylaşılıp, saklandığı belirlendi.

Hastanenin sorumluluğunda

Hastane yönetimi mahkemeye sunduğu savunmada, Sağlık Bakanlığı’nın sağladığı IT sistemlerini kullandıklarını belirtse de Veri Koruma Otoritesi, bu sistemin GDPR ile uyumluluğunun sağlanmasının hastanenin sorumluluğunda olduğunu ifade etti.

KPMG Türkiye Hukuk Bölüm Başkanı Onur Küçük, Avrupa’da veri güvenliğiyle ilgili hassasiyetin giderek yükseldiğini söyledi. Onur Küçük, Portekiz Veri Koruma Otoritesi’nin hastaneye verdiği cezanın, kurumun bugüne kadar verdiği en yüksek para cezası olduğunu vurguladı.

Türkiye’de de ağır yaptırım var!

Türkiye’de ise Kişisel Verileri Koruma Kurulu düzenlemelerine tüm hızıyla devam etmekte olup; Kurul’un 16 Ekim’de aldığı kararla, izinsiz reklam içerikli telefon aramaları yapılması; SMS veya elektronik posta gönderilmesi; idari para ve hapis cezası kapsamına alındı. Bkz. Kişisel Verilerin Korunması Kanunu

Kasım ayı başında Resmi Gazete’de yayımlanarak yürürlüğe giren karar kapsamında; kişilerin rızaları olmadan iletişim bilgileri üzerinden reklam içerikli paylaşımlarda bulunanlara 15 bin liradan 1 milyon liraya kadar idari para cezasıyla 2 yıldan 4 yıla kadar hapis cezası verilmesi öngörülüyor.

Neler GDPR kapsamına giriyor?