ICO, Londra merkezli Doorstep Dispensaree Ltd isimli ilaç şirketine kişisel verileri içeren belgeleri depolarken gerekli önlemleri almadıkları ve bu yüzden de belgelerin su ile temas etmeleri sonucunda kullanılamaz hale gelmesinden dolayı £275,000 para cezası kesti. Şirket yaklaşık 500,000 dokümanı kilitli olmayan konteynırlarda muhafaza etmekteydi. Dokümanlar; isim, soyisim, adres, doğum tarihi, NHS numarası (İngiltere’de sağlık hizmetleri için kullanılan kişiye özgü bir numara), sağlık bilgileri ve sayısı tam bilimeyen reçeteler gibi kişisel verileri içermekte.
Dokümanlar yeterli önlemlerle korunmadığı için 2016 Haziran – 2018 Haziran tarihleri arasında su alarak kullanılamaz hale gelmiştir. Verilerin yetkisiz veya yasa dışı işleme ve kazara kayıp, imha veya hasara karşı uygun güvenliği sağlayacak şekilde işlenememesi, GDPR kapsamında veri ihlali olarak sayılmaktadır.
Dikkat çekici kısım ise para cezası belirlenirken, ICO sadece GDPR’ın yürürlüğe girdiği 25 Mayıs 2018’deki ihlalleri göz önünde bulundurdu.
ICO ihlallerin önemi nedeniyle bir yaptırım ilanı yayınladı ve üç ay içinde veri koruma uygulamalarını iyileştirmesi emri verdi. Bunun yapılmaması, daha fazla yaptırım işlemiyle sonuçlanabilir.
KVKK açısıdan baktığımızda kurulun Verbis’e kayıtta sorguladığı Veri Güvenliği Tedbirleri kategorisi altında yer alan “Kişisel Verileri içeren fiziksel ortamların dış risklere (Yangın, sel vb) karşı güvenliği sağlanmaktadır.” ve “Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik önlemleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.” Maddelerinin ne kadar önemsenmesi gerektiğini görüyoruz.

Kaynak: https://ico.org.uk/action-weve-taken/enforcement/doorstep-dispensaree-ltd-mpn/

< Önceki