Bir avukatın, borç tahsilatı için kullandığı yazılımın, vatandaşların kimlik ve iletişim bilgilerini sorgulamaya imkan tanıyan ve kaynağı belirsiz verilerden oluşan bir 'veri havuzu' niteliğinde olduğunun tespiti halinde, Kişisel Verileri Koruma Kurulu'nun bu konudaki yaklaşımı ve aldığı kararlar nelerdir?

Kişisel Verileri Koruma Kurulu, bu tür yazılımların kullanılmasını 6698 sayılı Kanun'a ve TCK'ya açıkça aykırı bulmaktadır. Kurul'un 2019/308 sayılı ilke kararında belirtildiği üzere, bu tür programların kullanılması, veri sorumlularının KVKK m. 12'deki 'veri güvenliğine ilişkin yükümlülüklerini' ağır şekilde ihlal eder. Kurul, bu tespiti yaptığında çifte bir yol izlemektedir: 1) Konuyu, TCK m. 136 (Kişisel verileri hukuka aykırı olarak ele geçirme) kapsamında gerekli adli işlemlerin yapılması için ilgili Cumhuriyet Başsavcılığı'na ihbaren bildirir. 2) Kendi görev alanı yönünden de, veri sorumlusu olan avukat veya hukuk bürosu hakkında KVKK m. 18 uyarınca yüksek miktarlarda idari para cezası tesis eder. Bu, hem cezai hem de idari yaptırımı gündeme getiren ciddi bir ihlaldir.