Mevzuat ve Kurul Kararları – 2

Türkiye ve Dünyada

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

KVKK KURUL KARAR ÖZETLERİ (2018-2022)


Karar Özetleri:

07.07.2022: “İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi”
Karar Tarihi : 07/07/2022
Karar No : 2022/662
Konu Özeti : İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından işlenmesi

 

Kuruma intikal eden şikâyette özetle; ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı, sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.

Şikâyet konusuna ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevap yazısında özetle;

  • İlgili kişinin şikayetinin temel dayanağında; abonelerin işletmenin girişinde, bir cihaz vasıtasıyla parmak izi ve avuç izlerinin taranması suretiyle alana girilebildiği iddiasının bulunduğu, 
  • İşletme girişinde, kayıtlı abonelerin kimliğinin tanınması amacıyla “… El Geometrisi Terminali” adlı bir cihaz kullanıldığı, bu cihazın parmak veya avuç izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, 
  • Bu noktada “el geometrisi” kavramını açıklamakta fayda olduğu, parmak izi ve avuç izinin kişiye özgü, bir başka ifadeyle başka bir kişide benzeri mümkün olmayan biyometrik veriler olduğu, 
  • El geometrisinde ise, cihaza okutulan elin, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği, cihaza konulan elin, yalnızca üst kısmının tarandığı, parmak izi veya avuç izinin bulunduğu elin iç kısmını tarayacak herhangi bir mekanizmanın cihazda bulunmadığı, bir başka ifadeyle, tıpkı bir insanın boyunun ölçülmesi gibi kişinin elinin ölçülerinin cihaz vasıtasıyla tarandığı, 
  • El geometrisi kavramının, parmak veya avuç izinden temel olarak farkının, parmak veya avuç izinin kişiye özel olmasına karşın, el geometrisinin bu tarz kişiye ait bir özelliğinin bulunmadığı, örneğin, X kişisinin parmak izinin Y kişisiyle aynı olması mümkün değilken, X kişisinin el geometrisinin Y kişisiyle aynı olmasının mümkün olabileceği, bu durum KVKK kapsamında değerlendirildiğinde, parmak veya avuç izi kişiye özel olduğu için özel nitelikli kişisel veri iken el geometrisinin başkaca iki insanda aynı çıkabileceği için sadece kişisel veri hükmünde bir veri olduğu, bir başka ifadeyle el geometrisinin, kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri olduğu,
  • Bu cihazın çalışma şeklinden bahsedildiğinde; abonelerin el geometrisinin alınmasının tek başına yeterli olmadığı, abonelerin öncelikle, sadece kendilerinin bildiği bir şifreyi, ilgili cihaza tanımladığı, daha sonrasında ise el geometrisinin ilgili cihaz tarafından çıkarıldığı, bu aşamadan sonra, abonenin cihazı her kullanışında şifresini cihaza girmesi ve ardından elini cihaza okutması gerektiği, diğere bir ifade ile kişinin el geometrisinin alınmasının, kişiyi doğru bir şekilde eşleştirmede tek başına yeterli bir husus olmadığı, bunun sebebinin de yukarıda bahsedildiği üzere, el geometrisinin ilgili kişiden başka biriyle de aynı olabileceği, ilgili kişinin ayrıca kendi belirlediği bir şifre ile cihazın kötüye kullanımının önüne geçildiği, el geometrisinin, parmak veya avuç iziyle aynı nitelikte olması halinde, kişiye özgü bir şifre belirlenmesi gibi ayrıca bir teyit işlemine gerek kalmadan, kişinin sadece el geometrisini cihaza okutmasının yeterli olacağı, fakat bu hususun bilimsel gerçekler karşısında mümkün olmayıp, el geometrisinin kişiye özgü olmamasından dolayı, bu kimlik doğrulama tekniğinin yanında şifre girilmesi gibi başkaca teyit mekanizmalarına da ihtiyaç duyulduğu,
  • Bu hususlar göz önüne alındığında, şirketin abonelerinden aldığı, el geometrisi verisinin niteliği itibariyle özel nitelikli kişisel veri değil; normal bir kişisel veri olduğu, bu nedenlerle ilgili kişinin, şirketin abonelerinden parmak izi veya avuç izini aldığı iddiasının tamamıyla gerçek dışı bir iddia olduğu, yine ilgili kişinin üyelere şifre verildiği iddiasının da doğru olmadığı, abonelerin kendi şifrelerini kendilerinin oluşturduğu ve bu şifre ile el geometrisini cihaza girerek alana giriş yapabildiği, 
  • Bu kapsamda gerek el geometrisi alınmasının gerekse de kişilerin bu cihazı kullanırken kendilerine özgü şifre oluşturmasının amacının işletmeye ilgili kişiden başkasının girmesini önlemek, aboneliğin kötüye kullanımının önüne geçmek olduğu, şirket tarafından söz konusu önlemler alınırken gerek 6698 sayılı Kanunun herhangi bir hükmünün gerekse de Kurulun ilke kararlarından hiçbirinin ihlal edilmediği,   ilgili kişinin kişisel verilerinin işlenmesi durumunun 6698 sayılı Kanun’un 5’inci maddesi kapsamında kaldığı ve bu verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamındaki gerekçeyle işlendiği, ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği  

 
ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/662 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 
    (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
    (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın    kişisel verilerinin işlenmesi mümkündür:
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
         ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
                      d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    hükmünü haiz olduğu,  
  • 6698 sayılı Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinde de “… kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”nin özel nitelikli kişisel veri olarak belirlendiği, maddenin devamında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında da birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,  dolayısıyla veri sorumlusu tarafından Kanun’a uygun olarak kişisel verilerin işlenmesinin ancak Kanun’un 5’inci ve 6’ncı maddesinde yer verilen işleme şartlarının varlığında mümkün bulunduğu,
  • Öncelikle şikâyete konu olan kişisel verinin niteliğinin, özel nitelikli kişisel veri olup olmadığının tespit edilmesi gerektiği, nitekim veri sorumlusundan alınan cevap yazısında; cihazın avuç içi veya parmak izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, bu anlamda cihaz tarafından kaydedilen bilginin biyometrik niteliğe haiz olmayan “el geometrisi” bilgisi olduğu ve bu bilginin benzerinin başka bir kişide olma ihtimali bulunduğundan söz konusu bilginin kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri niteliğinde olduğunun belirtildiği,    
  • Bu kapsamda veri sorumlusunun cevap yazısında yer verdiği abonelerin, veri sorumlusuna ait hizmet binasına girişlerinde, kimlik tanıma amaçlı kullandığı “… El Geometrisi Terminali” isimli cihazın ilgili kişilere ait hangi bilgiyi işlediği ve kişi ile eşleştirmede bulunulan bilginin niteliğinin belirlenmesi gerektiği,  
  • İlgili cihaz hakkında açık kaynaklar üzerinden araştırma yapıldığında; öncelikle cihazın isminin “… Biyometrik El Terminali” olduğunun görüldüğü ve el geometrisi okuma teknolojisinin, adından da anlaşılacağı gibi kullanıcıların el ve parmak gibi fiziksel karakteristiklerinin üç boyutlu bir ortamda ölçülebilmesi prensibine dayandığı, bu sistemde elin 31.000 noktadan üç boyutlu olarak taranarak, elin ve parmakların karakteristiklerinin analiz edildiği, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerinin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği bilgilerine yer verildiğinin tespit edildiği, ayrıca açıklamalarda biyometrik sistemlerin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak el geometrisinde her el için 9 karakterlik bir kodun mevcut olduğu, bu 9 karakterden her birinin 10 rakam ve 26 harften oluşan toplam 36 olasılık içerdiği yani sistemin yanılma olasılığının 1/36x36x36x36x36x36x36x36x36 = 1/101.559.956.668.416 olduğunun belirtildiği, doğrulama işleminin nasıl yapılacağına ilişkin olarak ise; veri sorumlusu tarafından başka bir kişi ile eşleme ihtimaline binaen şifre ile ikincil bir doğrulama olduğu ifade edilse de cihaza ilişkin açıklamalarda önce kod girilerek kişinin kendisine ait görüntüyü çağırdığı ve elini cihazın altına koyduğu anda doğrulamanın 1 sn’nin altında bir hızla gerçekleştiğinin ifade edildiği, 
  • Kimlik doğrulamanın; bir kişinin belirli bir kimliğe sahip olduğunu ve/veya bir güvenlik alanına girme veya şikâyete konu somut olaydaki gibi hizmet alınan alana giriş gibi bazı eylemleri yapmaya yetkili olduğunu kanıtlayan bir prosedür olduğu, kimlik doğrulamaya ilişkin kanıtlama, şifre gibi yalnızca belirli bir kimliği veya yetkisi olan kişi tarafından bilinmesi gereken bilginin sorulmasıyla sağlanabileceği gibi somut olayın özelliklerine göre yüz tanıma, parmak izi gibi biyometrik verilerle de yapılabildiği, 
  • Danıştay’ın 15. Dairesinin 2014/4562 Esas sayılı Kararında; biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun belirtildiği, 
  • Avrupa Genel Veri Koruma Tüzüğünün (GVKT), 4’üncü maddesinde de biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı, aynı zamanda Tüzüğün Resital bölümünün 51’inci maddesinde de yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter olarak alındığı, 
  • Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 4 Aralık 2008 tarihli S. ve Marper/Birleşik Krallık Kararında; parmak izleri, biyolojik örnekler ve genetik profillerin kişisel veri olarak nitelendirildiği, mahkemenin, kişisel verilerin kullanılmasının Sözleşme'nin 8’inci maddesinde yer alan güvencelere aykırılık teşkil etmesinin önüne geçilmesi amacıyla yeterli güvenceleri sağlayacak şekilde iç hukukta düzenlemeler yapılması gerektiğini belirttiği, AİHM’nin, bu tür güvencelere olan ihtiyacın öneminin otomatik olarak işlenen kişisel verilerin korunmasının söz konusu olduğu durumlarda daha da arttığını vurguladığı,  
  • Diğer taraftan Anayasa Mahkemesi’nin parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği yönündeki 2018/11988 başvuru numaralı ve 10/03/2022 tarihli Kararında; 6698 sayılı Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin tahdidi olarak sayılmak suretiyle işlenmesini genel nitelikli verilere göre daha sıkı koşullara bağlandığını, özel nitelikli kişisel veri olarak kabul edilen biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini belirttiği, aynı zamanda biyometrik yöntemlerin kullanılması için kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceğine, kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin de idare tarafından sağlanması gerektiğine dikkat çektiği, 
  • Şikayet konusu olayda; ilgili kişinin ve diğer abonelerin hizmet binasına giriş denetimlerinde, el geometrisi bilgisinin işlendiğinin anlaşıldığı, kişisel verilerin korunmasına yönelik düzenlemelerde biyometrik veri tanımının; parmak izi, avuç izi, yüz tanıma, iris tanıma gibi sayılarak sınırları ve çeşitlerinin belirlenmediği, öyle ki, biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu, dolayısıyla veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı, 
  • Bu doğrultuda, 6698 sayılı Kanun’da özel nitelikli kişisel verilerin işlenmesinin, genel nitelikteki kişisel verilere nazaran daha sıkı koşullara bağlandığı, Kanun’un 6’ncı maddesi uyarınca; özel nitelikli kişisel veri niteliğini haiz olan biyometrik verinin işlenmesinin ancak açık rızanın bulunması veya kanunlarda açıkça öngörülmesi halinde mümkün olabildiği, bu anlamda biyometrik verilerin kaydedilmesi yöntemiyle hizmet binasına giriş yönteminin uygulanabilmesi için kanunlarda düzenlenmeyen hâllerde kişinin açık rızasının mevcut olması gerektiği, bu kapsamda konuya ilişkin Kanunda öngörülen bir durumun söz konusu olup olmadığı incelendiğinde herhangi bir kanun hükmüne rastlanmadığı, 
  • Diğer taraftan somut olayda ilgili kişinin veri sorumlusu nezdindeki hizmet binasına girişlerde kullanılması amacıyla el geometrisi bilgisinin veri sorumlusu tarafından kaydedilmesine yönelik özel nitelikli kişisel verisinin işlenmesine rıza göstermediği hususunda da bir ihtilafın söz konusu olmadığı, nitekim ilgili kişinin Kuruma ilettiği şikâyet dilekçesinde de açık rızanın varlığından söz edebilmek için gerekli olan işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında ilgili kişiye önceden yeterli düzeyde bilgilendirmede bulunulmadığının anlaşıldığı, 
  • Tespitler ışığında, veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı, bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanun’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği sonucuna varıldığı,  
  • Bilindiği üzere 6698 sayılı Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin;
    “(1) Veri sorumlusu;
           a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,    
           b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
           c) Kişisel verilerin muhafazasını sağlamak,
     amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
    ” hükmünü haiz olduğu, 
  • Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkına sahip olduğunun düzenlendiği,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrasının “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmünü haiz olduğu, 
  • Diğer taraftan Kanun’un 15’inci maddesinin (7) numaralı fıkrasında “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.” hükmüne yer verildiği

değerlendirmelerinden hareketle;

  • Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, veri sorumlusundan alınan cevap yazısında ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fıziken mümkün olmadığı ifade edildiğinden, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine,
  • Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

05.07.2019: “İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı”
Karar Tarihi : 05/07/2019
Karar No : 2019/198
Konu Özeti : İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı

 

Kuruma intikal eden dilekçede özetle; veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur. 

İhbarda yer alan konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Sadakat programına dahil olmak isteyen ilgili kişilere sunulan açık rıza metninde açık rızanın hangi amaçları içerdiği açıkça sıralanarak açık rızanın belirli bir konuya ilişkin olma unsurunun karşılandığı,
  • İlgili kişilere açık rıza metni sunulmakla birlikte ayrıca kişisel verilerinin işlenmesine ve haklarına ilişkin olarak mevzuata uygun şekilde aydınlatma yapıldığı,
  • Sadakat programı dahilinde açık rıza vermek istemeyen ilgili kişilere mağazalarından ve internet siteleri üzerinden her daim alışveriş imkanı sunulduğu, ürün ve hizmetlerinin herkesin erişimine açık olduğu ve belirlenen fiyatlar üzerinden herkes tarafından temin edilebildiği, bu ürün veya hizmetlerde yapılan indirimlerin ise ürün veya hizmetin rayiç bedelinin altında ve ek bir menfaat niteliğinde olduğu,
  • Program dahilinde ve ilgili kişiler tarafından açık rıza verilmesi halinde yararlanılabilen indirimlerin ana ürün veya hizmetin sunumuna ilişkin olmayıp ek menfaat niteliğinde olduğu ve bu durumun ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmediğini gösterdiği,
  • Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının mehaz Avrupa Birliği mevzuatında da açıkça kabul edildiği ve bu durumun Avrupa Birliği Veri Koruma Hukuku Hakkında El Kitabında (Handbook on European Data Protection Law) “… rıza vermeme sonucunda negatif sonuçlar doğacak olması rızanın geçerli olmayacağı anlamına gelmemektedir. Örneğin eğer süpermarket müşteri kartına rıza verilmemesi yalnızca belirli ürün fiyatlarına küçük bir miktar indirimin elde edilmemesi sonucunu doğuruyorsa söz konusu kartı almaya rıza veren müşterilerin kişisel verilerinin işlenmesi açısından rıza geçerli bir hukuki sebep olarak değerlendirilebilecektir. Müşteri ile şirket arasında bir altüst bağı yoktur ve rıza verilmemesinin sonuçları veri sahibinin özgür iradesini etkileyecek kadar ciddi değildir (ürün üzerinde yapılacak olan indirim veri sahibinin özgür iradesini etkilemeyecek kadar küçük miktardadır). …” şeklindeki açıklama ile ortaya koyulduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/07/2019 tarih ve 2019/198 sayılı sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendi hükmü uyarınca açık rızanın belirli bir konuya ilişkin olma, bilgilendirmeye dayanma, özgür irade ile açıklanma şeklinde üç unsuru olduğu,
  • İncelemeye konu ihbar niteliğindeki dilekçede yer alan bilgiler çerçevesinde veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak belirlediğinin ve satışa sunduğunun anlaşıldığı,
  • Sadakat kart programına dahil olmak istemeyen ve/veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin veri sorumlusunun mağazalarından alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği,
  • Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

17.03.2022: “Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 17/03/2022
Karar No : 2022/243
Konu Özeti : Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken, ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi

 

Kuruma intikal eden şikâyette özetle; ilgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği, bu şahsın siparişi verirken ilgili kişiye ait e-posta adresini kullandığı, veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişi ile aynı adı taşıyan bir kullanıcı tarafından isim benzerliğinden kaynaklı olarak Şirketlerine sehven “(...)@gmail.com” e-posta adresinin bildirilerek misafir müşteri girişi ile üyelik hesabı oluşturulmaksızın söz konusu siparişin verildiği, söz konusu e-posta adresi için ilgili kişi veya bir başka kişi adına üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya kişiye ait kimlik bilgilerinin işlenmediği,    
  • Verilerin doğru ve gerektiğinde güncel olmasını sağlamak adına kullanıcılara, üyeliğe ilişkin kişisel verilerini, “hesabım” sayfasında yer alan “üyelik bilgilerim” kısmından değiştirme imkanı sağlandığı ancak Şirketin sisteminde üyelik, e-posta adresine bağlı oluşturulduğundan, mevcut üyelikler için e-posta adresinin değiştirilemediği, bu nedenle yeni bir e-posta adresi kullanmak isteyen kullanıcıların internet sitesi ya da  mobil uygulama üzerinden veya müşteri hizmetlerini arayarak kullanmak istedikleri e-posta adresi ile yeni üyelik açtırabilecekleri
  • Üçüncü bir kişi tarafından ilgili kişiye ait e-posta adresi ile gerçekleştirdiği üyelik işlemi sırasında eğer ilgili kişiye ait e-posta adresi ile halihazırda bir üyelik oluşturulmuş ise yeni bir kullanıcının aynı e-posta adresi ile yeni bir üyelik oluşturamadığı ancak somut olayda ilgili kişinin “(...)@gmail.com” e-posta adresi ile üyelik hesabı bulunmadığı için başka bir kullanıcı tarafından misafir girişi yaparak isim benzerliği ile sehven bu e-posta adresinin kullanılarak sipariş oluşturulabildiği, 
  • Misafir girişlerinde, kullanıcıların internet sitesinde kendi istekleri doğrultusunda işlemleri gerçekleştirebilmeleri ve işlemlerin kolaylaştırılması amacıyla e-posta doğrulaması yapılmadığı, internet sitesinde üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken, sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak teknik geliştirme çalışmalarına başlandığı, Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararı uyarınca alınacak teknik önlemlere ilişkin Kurulun da görüşüne başvurulduğu, tamamen kontrolleri dışında gerçekleşen bu durumun önüne geçmek ve sehven hatalı veri girişlerini engellemek amacıyla planlar yapıldığı,
  • Bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilerek sipariş oluşturulduğu, ilgili kişiye ait e-posta adresi ile ilgili kişiye ait herhangi bir verinin eşleşmediği ve kişiye ait kimlik bilgilerinin işlenmediği, dolayısıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinin somut olayda söz konusu olmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesinin (5) numaralı fıkrası hükmü ile Avrupa Genel Veri Koruma Tüzüğünde yer alan veri ihlali tanımı dikkate alınarak Kuruma veri ihlal bildiriminde bulunulmadığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/243 sayılı Kararı ile;

  • Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı;  
  • Bu çerçevede şikâyete konu olayda, şikayetçinin uzaktan satış sözleşmesinin tarafı olmayan ilgili kişi, şikayete konu olan … A.Ş’nin veri sorumlusu, ilgili kişinin e-posta adresinin kişisel veri, ilgili kişinin e-posta adresine veri sorumlusu tarafından ilgili kişiye ileti gönderilmesi suretiyle e-posta adresinin kullanılmasının da kişisel veri işleme faaliyeti olduğunun değerlendirildiği,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Şikayete konu olayda, ilgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait e-posta adresini sehven girerek sipariş verdiği, “(...)@gmail.com” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığı, 
  • Sipariş detayları incelendiğinde; gönderici adı, soyadı ve e-posta adresi olarak ilgili kişinin adı, soyadı ve “(...)@gmail.com” e-posta adresinin yer aldığı, bunun yanı sıra alıcı bilgisi olarak üçüncü bir kişinin adresinin açıkça faturada yer aldığı, 
  • Kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu, şikâyet konusu olayda üye olmadan misafir girişi ile verilen siparişlerde e-fatura gönderiminin temini için e-posta bilgisi beyan edilmeden alışveriş yapılamadığı, 
  • Öte yandan 05.03.2010 tarihinde yayımlanan 397 sıra numaralı Vergi Usul Kanunu Genel Tebliği ile elektronik fatura (e-fatura) uygulamasının vergi mevzuatımıza dahil edilmiş bulunduğu, söz konusu genel tebliğde belirtilen koşulları sağlayan mükelleflerin kendi istekleri ile seçebileceği bir uygulama olarak başlayan e-fatura uygulamasının zorunlu hale getirildiği, elektronik ticaret ortamı sağlayan gerçek ve tüzel kişi hizmet sağlayıcılarının da e-fatura uygulamasına geçiş yapma zorunluluğu bulunduğu, bu anlamda veri sorumlusu tarafından ilgili kişilere ait e-posta adresinin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince bir hukuki yükümlülüğün yerine getirilmesi amacıyla kişisel verilerin işlenmesi şartına uygun olarak veri işlendiği yönünde değerlendirilebileceği,
  • Bununla birlikte faturanın, ticaret ve vergi mevzuatı bakımından işlemin tarafları arasında borç ilişkisinin varlığı veya akdin ifasını gösteren delil niteliğinde bir belge olup ispat ve itiraz aracı olarak kullanılabildiği, çeşitli Yargıtay kararlarında da faturanın bu işlevine dikkat çekildiği, bu çerçevede faturanın doğru muhataba/adrese gönderilmesinin önem taşıdığı, elektronik ortamlar üzerinden yapılan alışverişlerde kişiler tarafından telefon veya e-posta bilgilerinin beyanında yanlışlık yapılması sık karşılaşılabilen bir durum olduğundan faturanın yanlış muhataba/adrese gönderilmesi durumunda hak kaybı yaşanmasının muhtemel olduğu, bu açıdan veri sorumlusunun e-posta adreslerinin işlenmesine yönelik olarak her ne kadar Kanun’un 5’inci maddesi gereğince bir işleme sebebine dayanması söz konusu ise de kişisel verilerin Kanun’un 4’ncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine uygun işlenmesi hususunda aktif özen yükümlülüğü bulunduğunun da göz ardı edilemeyeceği,
  • Veri sorumlusunun, e-posta adresinin alışveriş yapan kişi tarafından kullanılıp kullanılmadığını teyide yönelik gerekli tedbirleri/doğrulama mekanizmalarını uygulamaya alması gerekirken, buna yönelik bir doğrulama mekanizmanın devrede olmadığı, işlem kolaylığı açısından üye olmadan misafir girişi ile yapılan alışverişlerde e-posta doğrulaması yapılmadığının beyan edildiği,
  • Söz konusu işlemde bir teyit mekanizmasının bulunmamasının, hak kaybına sebebiyet verebilmesinin yanı sıra internet sitesinde üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı anlamına da gelebileceği, faturaların gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta ve sipariş bilgilerini ihtiva edebildiği, faturanın konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği, nitekim alıcının adresi ve sipariş bilgilerinin de ilgili kişi tarafından öğrenildiği, 
  • Bu çerçevede, veri sorumlusunun ilgili kişinin e-posta adresinin işlenmesinde Kanun’un 5’inci maddesindeki bir işleme şartına dayanmadığı, dolayısıyla Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendi ile Kanun’un 12’nci maddesinin (1) numaralı fıkrasında belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik tedbirlerin alınması yükümlülüklerini yerine getirmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında söz konusu işleme faaliyetinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı ve bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına, 
  • “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında” Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararının gereğini yerine getirmesi hususunda uyarılmasına,
  • Veri sorumlusunun savunmasında Avrupa Birliği Genel Veri Koruma Tüzüğünün muhtelif hükümlerine ve değerlendirmelere yer verilmiş olduğu görülmüş olup Kanun hükümlerine uyumun sağlanmasının öncelikli olduğu hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

10.03.2022: “Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması”
Karar Tarihi : 10/03/2022
Karar No : 2022/224
Konu Özeti : Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu, akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği,  görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • Çağrı Merkezi ile ilgili kişinin yapmış olduğu görüşmede kimlik verileri (adı, soyadı) iletişim verileri (telefon numarası) ve ses kaydı verisinin; Banka’nın internet sayfasında Bize Ulaşın bölümünü kullanarak ilettiği başvurusuna ilişkin kimlik verilerinin (adı, soyadı, TC kimlik numarası), iletişim verilerinin (telefon numarası ve e-posta adresi); Banka’nın şubesine ilettiği dilekçesinden ise söz konusu dilekçede yer alan bilgileri ile kimlik verilerinin (kimlik belge örneği) Banka tarafından işlendiği,
  • İşlenen kişisel verilerin müşteri ilişkileri yönetimi süreçlerinin yönetimi ile buna bağlı olarak talep ve şikâyetlerin takibi, ilgili iletişim faaliyetlerinin yürütülmesi, bu faaliyetlerin bağlı olunan mevzuatta öngörülen uygun içerik ve detayda yürütülmesinin sağlanması, kayıtlara ilişkin mevzuatta emredilen şekilde saklama ve arşiv faaliyetlerinin gerçekleştirilmesi ve genel olarak müşteri güvenliğinin sağlanması amaçları ile işlendiği, 
  • Banka’nın aydınlatma metninin internet sitesinde herkes tarafından erişime açık şekilde yer aldığı, internet sayfasında ‘Bize Ulaşın’ bölümünü kullanarak iletilen başvurularda "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğu ile, Çağrı Merkezi arandığında ilk olarak kayıp/çalıntı/şüpheli işlem bildirimi işlemleri ile birlikte Kişisel Verilerin Korunmasına ilişkin bilgi alınması hususundaki işlem menüsüne yönlendirildiği, ilgili kişiye çağrı merkezi kanalıyla KVKK aydınlatma metni sunulduğu, ancak müşterinin dinlememeyi tercih ettiği, ilgili kişinin "Çağrı Merkezi" kanalıyla ve Banka web sayfasında ‘Bize Ulaşın’ bölümünde oluşturduğu başvurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi gereğince verilerinin işlenmesi sürecine ilişkin olarak aydınlatma yükümlülüğünün yerine getirildiği,
  • İlgili kişinin, müşterilerinin bankomat kartını bulduğunu haber vermek amacıyla çağrı merkezleriyle yaptığı görüşmede müşteri temsilcisinin "kart sahibine kartı sizin bulduğunuzu ileteceğim şeklinde" yaptığı bilgilendirmeye "tamam" cevabını vermesi üzerine kart sahibi ile ilgiliye ait kişisel verilerin sözlü olarak paylaşıldığı,

ifade edilmiş, ayrıca yazı ekinde,  ilgili kişinin Çağrı Merkezi ile yaptığı görüşme kaydının yer aldığı CD sunulmuştur.  

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde, veri sorumlusunun veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasında; d) bendinde; “Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.”e) bendinde; “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün yer aldığı, 
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerden; ilgili kişi, veri sorumlusunun internet sitesinde bulunan ‘bize ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği, bu anlamda veri sorumlusu Banka tarafından aydınlatma yükümlülüğünün yerine getirildiğinin anlaşıldığı,
  • Kanun’da kişisel veri işleme şartlarından biri olarak düzenlenen “açık rıza”nın, Kanun’un 3 üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “belirli bir konuya ilişkin olması”, “rızanın bilgilendirmeye dayanması” ve “özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu,  bu kapsamda, veri işlemek üzere alınan açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, ayrıca kişinin neye rıza gösterdiğini de bilmesi gerektiği,
  • Bu çerçevede, veri sorumlusu tarafından iletilen çağrı merkezi görüşme kaydı dinlendiğinde; görüşmenin son kısmında çağrı merkezi personelinin “... Kartın güvenliğini sağlıyorum. Gerekli bilgileri not aldım, müşterinin kendisi ile iletişime geçeceğim kartı sizin bulduğunuzu ileteceğim.” şeklindeki ifadesinin üzerine ilgili kişinin “tamam” şeklinde yanıt verdiğinin tespit edildiği,
  • Somut olayda verilen açık rıza değerlendirildiğinde; çağrı merkezi personelinin öncesinde kartın güvenliğini sağladığına ilişkin açıklamalarda bulunduktan sonra “... kart sahibine kartı sizin bulduğunuzu ileteceğim ...” şeklindeki ifadesinden ilgili kişinin ad, soyadı ve telefon numarası bilgisinin kart sahibi üçüncü kişiyle paylaşılacağı çıkarımında bulunulmasının makul bir beklentiye uygun olmadığı, aynı ifadeden kart güvenliğinin sağlanması ile birlikte bir vatandaş tarafından kartın bulunduğu bilgisinin paylaşılacağının anlaşılmasının daha beklenebilir bir durum olduğu,
  • Buna ek olarak, görüşme kaydının tamamı göz önünde bulundurularak değerlendirme yapıldığında, ilgili kişiye kart sahibinin bilgilerinin verilerek kartın ilgili kişinin kendisi tarafından teslim edilmesine ilişkin öneriye karşılık, olumsuz cevap verilmesinden de ilgili kişinin kişisel verilerinin paylaşılması yönünde bir rızasının bulunmadığı çıkarımında bulunulmasının mümkün olabileceği,
  • Sonuç olarak, ilgili kişinin kişisel verilerinin üçüncü kişiye açıklanması şeklinde gerçekleşen kişisel veri işleme faaliyetinin açık rızanın unsurlarını barındırmadığı, dolayısıyla veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işleme faaliyetinde bulunulduğu kanaatine varıldığı,
  • Bu çerçevede veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi biri geçerli olmadan kişisel verilerin açıklanması suretiyle veri işleme faaliyetinde bulunulduğu anlaşıldığından Kanun’un 12’nci maddesinde yer alan “Kişisel verilere hukuka aykırı erişilmesini önlemek” ve “Kişisel verilerin muhafazasını sağlamak” yükümlülüğüne aykırı davranıldığı,

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğindeki ad, soyadı ve telefon numarası bilgilerinin Kanuna aykırı olarak üçüncü kişiyle paylaşılması nedeniyle veri ihlaline sebebiyet verildiği dikkate alındığında; Kanun’un 12’inci maddesi çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesi kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
  • İlgili kişinin kişisel verilerinin işlenmesi sürecinde aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

04.03.2022: “Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması”
Karar Tarihi : 04/03/2022
Karar No : 2022/184
Konu Özeti : Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği; ilgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; akabinde ilgili kişinin eşine ait hattın hukuk bürosu çalışanı olduğunu söyleyen bir şahıs tarafından arandığı, konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunduğu; sonrasında ilgili kişinin eşinin, kişisel verileri istedikleri gibi ifşa edemeyeceklerini, bunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca suç teşkil ettiğini, kendileri hakkında hukuki olarak gereken her türlü yasal yollara başvuracaklarını bildirdiği; ayrıca ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediğinin sorulduğu ayrıca, istenildiği takdirde UYAP veya MERNİS’ten iletişim bilgilerine ulaşılabileceğinin söylendiği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde ise dolaylı yollardan bulduk, biz buluruz şeklinde cevap verildiği belirtilmiş; ilgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında şikâyetçi olunduğu ifade edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu alacak yönetim şirketinden savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Bir telekomünikasyon şirketi ile arasında alacak devir sözleşmesinin akdedilmiş olması sebebiyle bahsi geçen şirket tarafından icra dosya bilgileri, müşterilere ait faturalar, müşteriler tarafından telekomünikasyon şirketine verilen iletişim bilgileri vb. bilgilerin taraflarına iletildiği,
  • İşlem yapılırken icra borçlularının telekomünikasyon firmasına ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon firmasının taraflarına ilettiği telefon numaralarının arandığı,
  • Akabinde şikâyet dilekçesinde belirtilen hatlardan şirketlerinin çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiği,
  • Taraflarınca hiçbir şekilde ilgili kişiye ait başka bir telefon numarası araştırması yapılmadığı gibi üçüncü kişilere de ulaşılmadığı ve üçüncü kişilere bilgi verilmediği, çağrı merkezini arayan kişilerin ilgili kişi olup olmadığı tespit edilemediğinden taraflarınca ilgili kişi sıfatıyla arandıkları telefon numaralarına işlem yapıldığı 

beyan ve iddialarına yer verilmiştir.

Şikâyet dilekçesinde belirtilen hatlardan çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği hususlarına ilişkin kanıtlayıcı nitelikte imza ve kaşeli belgelerin Kurum’a gönderilmesinin istenmesi üzerine; veri sorumlusunca telekomünikasyon şirketi ile aralarında imzalanan sözleşme ile alacak devri sözleşmesi örneklerine yer verilmekle birlikte ilgili kişinin telekomünikasyon şirketine ilişkin ödenmemiş faturası dolayısıyla borcu olduğunu ve icra takibi başlatıldığını gösterir kayıtlar ile veri sorumlusunun alacakların tahsili için kullandığı çağrı merkezi sistemi aracılığıyla borçlular ile icra takibi sürecinde iletişim kurulması sonrası ilgili görüşmeye ilişkin ayrıntıların kaydedildiği sistemin ekran görüntülerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.

hükmünü amir olduğu,

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kardeşi adına kayıtlı olan hatta ve eşine ait telefona ilgili kişinin telekomünikasyon şirketine olan borcunun süresinin dolacağına ilişkin bir SMS gönderildiği ifade edilerek rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığının beyan edildiğinin görüldüğü;
  • Veri sorumlusu tarafından Kurum’a gönderilen savunma ekindeki belgeler incelendiğinde ilgili kişinin şikâyet dilekçesinde belirttiği borcun süresinin dolacağına ilişkin SMS’in gönderildiği tarihten önceki bir tarihte ilgili kişinin kardeşi adına kayıtlı telefon numarasından veri sorumlusunun aranarak dosya numarasının öğrenildiği, yine aynı tarihte söz konusu borca itiraz edildiği ve itirazın onaylandığı bilgisinin paylaşıldığı iddiası ile ilgili kişinin kardeşi adına kayıtlı telefon numarasından tekrar veri sorumlusunun arandığına ilişkin imzalı ve kaşeli ekran görüntülerinin bulunduğu; bununla birlikte yine aynı tarihte ilgili kişinin eşine ait telefon numarasıyla görüşüldüğü, borç ve masraflarla ilgili bilgilendirme yapıldığının beyan edildiği;
  • Veri sorumlusu tarafından Kurum’a iletilen savunma yazısında taraflarınca işlem yapılırken icra borçlularının telekomünikasyon şirketinin ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon şirketinin taraflarına ilettiği telefon numaralarının arandığı, akabinde şikâyet dilekçesinde belirtilen ilgili kişinin eşi ve kardeşinin telefon numaralarından çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiğinin beyan edildiğinin görüldüğü; 
  • Bu kapsamda veri sorumlusu tarafından Kurum’a iletilen cevap yazılarından; veri sorumlusunun çağrı merkezini arayarak bir borç hakkında bilgi talep edilmesi halinde arayan kişiye herhangi bir bilgilendirme yapılmaksızın ve Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın arayan kişilerin telefon bilgilerinin sisteme otomatik olarak kaydedilmek suretiyle işlenmesi ve bu kişilerle başka şahısların kişisel verisi niteliğindeki borç bilgisine ilişkin bilgi paylaşımında bulunulduğu kanaatine varılması nedeniyle veri sorumlusunun Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

24.02.2022: “Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi”
Karar Tarihi : 24/02/2022
Karar No : 2022/172
Konu Özeti : Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi

 

İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde özetle;

  • İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,
  • İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı, 
  • Aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile çeliştiği,
  • Veri sorumlusunun özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nun (Kurul) aldığı 31/01/2018 tarihli ve 2018/10 sayılı Kararda belirtilen hususları yerine getirmediği, 
  • Veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği,
  • İlgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği

hususları belirtilmiş ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun Türkiye’deki irtibat bürosuna yazılan yazı ile savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikâyet edilenin, yurt dışı menşeli veri sorumlusunun Türkiye’deki irtibat bürosu olduğu, yasal kuruluş esasları gereği münferit bir tüzel kişiliği ve ticari faaliyeti haiz olmadığı, 
  • İlgili kişinin veri sorumlusu bünyesinde çalışmasının doğrudan yurt dışı merkezli yasal mevzuat hükümlerine göre belirlendiği ve buna göre iş yeri sicil dosyasının yurt dışında cari olan mevzuat hükümlerine göre oluşturulduğu, 
  • İlgili kişinin şikâyetine konu olan kişisel verilerin, ilgili kişinin yurt dışında mukim veri sorumlusunun çalışanı olması nedeniyle, iş yeri özlük dosyası kapsamında rızası ile ilgili kişiden temin edildiği, bu anlamda icazet olmaksızın söz konusu kişisel verilerin yurt dışına aktarılması gibi bir durumdan bahsedilemeyeceği, 
  • Şikâyete konu kişisel verilerin, iş akdi gereği, çalışma süresi boyunca şikâyet edilen irtibat bürosu uhdesinde “özlük dosyası” mahiyetinde, ilgili yasal mevzuat ile kanunlarda belirlenen meşru amaca uygun olarak muhafaza edildiği, iş akdinin sonlandırılmasını müteakip ilgili kişi tarafından açılan İş Mahkemesi nezdindeki dava dosyasının bir örneğinin sunulduğu, sonrasında yasal bir zorunluluk bulunmamasına karşın söz konusu kişisel verilerin irtibat bürosu ve yurt dışı birimleri kayıtlarında imha edildiği

belirtilmiştir

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/02/2022 tarih ve 2022/172 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Öte yandan, 4857 sayılı İş Kanunu’nun (“4857 sayılı Kanun”) “Tanımlar” başlıklı 2’nci maddesinin “Bir iş sözleşmesine dayanarak çalışan gerçek kişiye işçi, işçi çalıştıran gerçek veya tüzel kişiye yahut tüzel kişiliği olmayan kurum ve kuruluşlara işveren, işçi ile işveren arasında kurulan ilişkiye iş ilişkisi denir. İşveren tarafından mal veya hizmet üretmek amacıyla maddî olan ve olmayan unsurlar ile işçinin birlikte örgütlendiği birime işyeri denir… İşveren adına hareket eden ve işin, işyerinin ve işletmenin yönetiminde görev alan kimselere işveren vekili denir. İşveren vekilinin bu sıfatla işçilere karşı işlem ve yükümlülüklerinden doğrudan işveren sorumludur” hükümlerini ihtiva ettiği,
  • 4875 sayılı Kanun‘un “Tanımlar” başlıklı 2’nci maddesinde ise “Yabancı yatırımcı: Türkiye'de doğrudan yabancı yatırım yapan, 1) Yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, 2) Yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade eder” hükmünün bulunduğu,
  • Bununla birlikte, Doğrudan Yabancı Yatırımlar Kanunu Uygulama Yönetmeliği’nin “İrtibat bürosu kuruluşu” başlığını haiz 6’ncı maddesinin “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir…” hükmünü amir olduğu,
  • Somut hadisede şikâyet olunan tarafın, yurt dışında yerleşik bir tüzel kişi olan veri sorumlusunun irtibat bürosu olduğunun görüldüğü, veri sorumlusunun internet sitesinden edinilen bilgilere göre veri sorumlusunun başka bir ülke merkezli bir yazılım şirketi tarafından satın alındığı, şu halde veri sorumlusunun Türkiye İrtibat Bürosu’nun; Türkiye’de ticarî faaliyet yürütmeyen, tüzel kişiliği bulunmayan, yalnızca “Haberleşme ve Bilgi Aktarımı” faaliyetinde bulunan bir irtibat bürosu olduğu ve yabancı sermaye mevzuatına tabi bulunduğu,
  • Öte yandan irtibat bürolarının, 4857 sayılı Kanun’a göre “iş yeri” statüsüne dâhil olduğu, 4875 sayılı Kanun’a göre ise “yabancı yatırımcı”nın yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade ettiği, 
  • 4875 sayılı Kanun’da gösterilen yatırımcıların iş hukuku anlamında işveren sıfatını kazanacağının anlaşıldığı, bu surette irtibat bürosu çalışanlarını ve dolayısıyla da ilgili kişiyi istihdam eden işverenin; veri sorumlusunun irtibat bürosu değil, veri sorumlusunun kendisi olacağı,
  • Bu sebeplerle, somut hadisede “veri sorumlusu” sıfatının yurt dışında yerleşik veri sorumlusunun Türkiye İrtibat Bürosu’na değil, yurt dışında mukim ve tüzel kişiliği haiz olan veri sorumlusunun kendisine atfedilebileceği kanaatine varıldığı,
  • İlgili kişinin gönderdiği tebligatta “yetkili” sıfatı ile veri sorumlusunun şirket müdürüne yer verildiği, şirket müdürünün ise yurt dışında mukim olunan yer yetkili noteri tarafından onaylanan ve düzenlenen vekâletname ile veri sorumlusu adına yetkilendirildiğinin görüldüğü, şu halde ilgili kişinin veri sorumlusuna İrtibat Bürosu yetkilisi ve işveren vekili vasıtasıyla yaptığı tebligatın hukuken muteber ve geçerli olduğu, veri sorumlusunun da buna yanıt vermesi gerektiği, ancak veri sorumlusunun, ilgili kişinin başvurusuna yasal süre içerisinde herhangi bir yanıt vermediği, bu suretle veri sorumlusunun Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de (“Tebliğ”) yer verilen ilgili kişilerin başvurularına yanıt verilmesine ilişkin hükümlere aykırı hareket ettiğinin tespit edildiği,
  • İşveren sıfatının yurt dışı merkezli veri sorumlusunun üzerinde olduğu dikkate alındığında, çalışanlar ile akdedilen iş ilişkisi sözleşmelerinin irtibat bürosuyla değil, veri sorumlusunun kendisiyle akdedilmesinin icap edeceği, hâl böyle olunca bu iş ilişkisi kapsamında akdedilen sözleşme gereği, ilgili kişiye ait kişisel verilerin irtibat bürosu tarafından yurt dışında mukim veri sorumlusuna aktarılmasında herhangi bir hukuka aykırılığın bulunmayacağı,  zira sözleşmenin tarafının doğrudan yurt dışı merkezli veri sorumlusu olmasından dolayı “veri sorumlusu” sıfatının zaten yurt dışı merkezli şirkete  ait olduğu, 
  • İlgili kişinin yurt dışı menşeli veri sorumlusu bünyesinde çalışmak üzere iş akdi yaparken, veri sorumlusunun tabi olduğu yabancı mevzuat gereği kendisinden temin edilen bilgi ve belge mahiyetindeki kişisel verilerinin yurt dışında işleneceğini düşünmemesinin mümkün olmadığı, bir akdin gereğinin yerine getirilmesi için ilgili kişiden açık rıza temin etmekten başka hiçbir yasal yol olmaması durumunda bu akit kurulurken taraflardan açık rıza istenmesinin açık rızanın yasal unsurlarını sakatlamayacağı, zira ilgili kişinin bu akit kurulurken kişisel verilerinin akıbetine dair farkındalık sahibi olduğu,
  • Veri sorumlusu tarafından ilgili kişinin kişisel verilerinin tabi olunan yabancı ülke hukuku gereği, özlük dosyası oluşturmak amacıyla işlendiği iddia edilse de bu konudaki açıklamaları destekleyici bir bilgi ya da belgenin sunulmadığı, ayrıca veri sorumlusunun bu belgeleri hangi yasanın hangi hükmü uyarınca temin ettiğini Kurula açıklamadığı,
  • Öte yandan, veri sorumlusu tarafından şirket merkezi ve irtibat bürosu nezdinde ilgili kişiye ait tüm kişisel verilerin imha edildiği iddia edilmekle birlikte bunu destekleyen bir belgenin de Kuruma sunulmadığı,  hâlbuki Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “İlkeler”i düzenleyen 7’nci maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.” hükmü uyarınca veri sorumlularının, yaptıkları silme işlemlerini evraka bağlamak ve söz konusu vesaiki talep edildiği takdirde resmî makamlara sunmak zorunda oldukları, 
  • Veri sorumlusuna gönderilen bilgi ve belge talebi konulu yazıda, ilgili kişinin şikâyet dilekçesinde yer alan bütün iddialara yönelik yanıtlar ile bu yanıtları destekleyen kayıt ve belgelerin istendiği fakat veri sorumlusunun bu belgeleri Kurula sunamadığı

değerlendirmelerinden hareketle;

  • Somut olayda “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu,
  • İrtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle, ilgili kişi tarafından irtibat bürosuna yapılan tebligatın hukuken muteber ve geçerli olduğu,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruya Kanun ve Tebliğ hükümleri ihlal olunarak yasal süre dâhilinde herhangi bir yanıt verilmediği,
  • Şikâyet konusunu teşkil eden somut olayda yurt dışına veri aktarılmasının hukuka aykırı olmadığı, ilgili kişiye ait kişisel verilerin yurt dışında mukim veri sorumlusu tarafından iş ilişkisi kapsamında akdedilen sözleşme vasıtasıyla, yerleşik ülke hukuku doğrultusunda elde edildiği fakat bu mevzuat hükümlerine ilişkin olarak ilgili kişiye ve Kurula yeterli açıklamalarda bulunulmadığı,
  • Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,
  • İlgili kişinin kişisel verilerinin gerek şirket merkezi gerekse de irtibat bürosu nezdinde imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmediği

anlaşıldığından, veri sorumlusunun;

  • İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
  • İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi 

hususlarında talimatlandırılmasına karar verilmiştir. 

10.02.2022: “Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması”
Karar Tarihi : 10/02/2022
Karar No : 2022/103
Konu Özeti : Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması

 

Kurum’a intikal eden şikâyet dilekçesinde özetle; bir tekstil firması (veri sorumlusu) ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) hakkında icra takibi başlatıldığı, bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı, paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği, bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği, veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığı, bu hususta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişinin adının geçtiği Şirketin, şikâyete konu sosyal medya paylaşımlarına ilişkin Cumhuriyet Savcılığına intikal eden şikâyette taraf olduğu, şikâyete konu tarafın şahıs olmaması tüzel kişi olması dolayısıyla ve suçun yasal unsurlarının oluşmadığı gerekçesiyle hakaret suçundan kovuşturma yapılmasına yer olmadığına karar verildiği,
  • Savcılığa intikal eden şikâyete konu paylaşımları yapan şahsın o tarihlerde ilgili kişinin adının geçtiği şirketin yarı zamanlı çalışanı olduğu sonradan firmadan ayrıldığı, akabinde veri sorumlusu nezdinde çalışmaya başladığı,
  • Şikâyetçi tarafın veri sorumlusu firmadan yüksek miktarda mal aldığı, bu süreçte Şirketin paylaşımları yapan şahsın müşterisi olduğu, ilgili ürünleri pazarlayan, sunan ve siparişi alanın da bu kişi olduğu, diğer bir ifade ile Şirketin bu şahsın portföyünde bulunduğu,
  • Şirketin söz konusu mal alımına ilişkin ödeme yapmadığı, e-postalara ve telefonlara yanıt vermediği, Şirketle hiçbir şekilde irtibat sağlanamadığı, bunun üzerine Şirket hakkında icra takibi başlatıldığı,
  • Veri sorumlusu adına açılmış sosyal medya hesaplarının bulunmadığı ve veri sorumlusunun unvanı altında paylaşım yapılmadığı,
  • Bahsi geçen şahıs bu pazarlamadan çok zarar gördüğü için diğer firmaların da bu Şirketten zarar görmemesi adına üyesi olduğu bir Facebook grubunda ilgili kişinin adının geçtiği Şirket ile yaşanan durumu kısaca izah ettiği, ispat olarak dava dosyasının ön kapak görselini okunmayacak şekilde paylaştığı, ancak bu paylaşımın yayımlanmadan silindiği ve üçüncü şahısların söz konusu paylaşımı görmediği, olay sonrasında bahsi geçen şahsın gruptan çıkarılarak engellendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 10/02/2022 tarih ve 2022/103 sayılı kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • 95/46/AT sayılı Veri Koruma Direktifine dayalı olarak hazırlanan ve “kişisel veri kavramı”nın ele alındığı Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı görüşünde; tüzel kişiler hakkında bilginin gerçek kişilerle “ilişkili olması” durumunun somut olay özelinde göz önünde bulundurulması gerektiği, tüzel kişilerin unvanının gerçek kişi isimlerinden türetildiği durumda kişisel veri olup olmadığının belirli kriterlere (içerik, amaç ve sonuç kriterlerine) göre değerlendirilmesi gerektiğinin belirtildiği, Madde 29 Veri Koruma Çalışma Grubu’nun söz konusu görüşü ile örneğin, bir şirket e-postasının belirli bir çalışan tarafından kullanılmasında veya küçük bir işletmenin sahibinin davranışlarını ifade eden bilgide bu durumun söz konusu olabileceği, “içerik”, “amaç” veya “sonuç” kriterlerine göre değerlendirildiğinde, işletme veya tüzel kişi hakkında bilginin gerçek kişiyle ilişkili olması mümkünse kişisel veri olarak düşünülebileceğinin ifade edildiği, söz konusu kriterlerin kümülatif olarak bulunmasının gerekli olmadığı, kriterlerin birbirinin alternatifi olarak düşünülebileceği, söz konusu görüşe göre; aynı bilginin aynı zamanda farklı unsurlar bakımından farklı kişilerle ilişkilendirileceğinin de değerlendirildiği, örneğin bir bilgi A kişisi hakkında ise içerik kriteri bakımından A kişisiyle, B kişisine belirli bir şekilde davranılması amacıyla kullanılması durumunda amaç kriteri bakımından B kişisiyle, C kişisinin hak ve menfaatlerinde bir etkiye sahipse veya herhangi bir etkiye sahip olması muhtemelse “sonuç” kriteri bakımından C kişisiyle ilişkili olduğunun söylenebileceği,
  • İlgili şirketin, yetkilisinin ismini ve soy ismini taşıdığı, somut olay özelinde şirket unvanının, Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel veri olup olmadığının göz önünde bulundurulması gerektiği, icra takibi evrakında bulunan tacirin unvanında ilgili kişinin isim ve soy ismi bulunsa da yapılan paylaşım ve yorumlarda tüzel kişiliğin hedeflendiği göz önünde bulundurulduğunda şirketin unvanının veya borç bilgisi, adresi, vergi kimlik numarası bilgisinin gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığı ya da gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmadığı kanaatiyle Kanun’da yer alan kişisel veri tanımını karşılamadığı,
  • Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı,
  • Somut olay özelinde, veri sorumlusunun çalışanı tarafından icra takip talebi evrakının fotoğraflanması suretiyle elde edilerek sosyal medya platformu aracılığıyla paylaşılması ile Şirket’e ait bazı bilgileri içeren yorumların sosyal medya platformunda paylaşılmasında, kişisel veri işlenmemesi sebebiyle konunun Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca Kanun kapsamında olmadığı

değerlendirmelerinden hareketle;

  • Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de, sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına

karar verilmiştir.

18.01.2022: “Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi”
Karar Tarihi : 18/01/2022
Karar No : 2022/31
Konu Özeti : Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) 6’ncı maddesinin (1) numaralı fıkrasındaki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği,
  • Öte yandan kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun)  5’inci maddesinin (1) numaralı fıkrası gereği ilgili kişinin açık rızasının alınmasının veya aynı maddenin (2) numaralı fıkrasında sayılan açık rızanın aranmadığı özel şartlardan birinin sağlanmasının gerektiği, ancak somut hadisede ne kendisinin açık rızasının alındığı ne de 6698 sayılı Kanun’da gösterilen özel şartların sağlandığı,
  • 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunun belirtildiği ancak kişisel verilerinin e-posta adresine ileti gönderilmek suretiyle işlenmesinden ötürü bu hükmün ihlal edildiğinin ortada olduğu,
  • Veri sorumlusu tarafından ilgili kişiye verilen cevapta 6563 sayılı ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında herhangi bir bilgiye yer verilmediğinden, kampanya ve reklamcılık faaliyetleri çerçevesinde ticari elektronik ileti gönderimine ilişkin yapılan savunmanın yerinde olmadığı

hususları ifade edilmiş ve 6698 sayılı Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine başvuru yapması sonucunda elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kayıt edildiği,
  • Bu veri işleme faaliyetinin, 6698 sayılı Kanun’un 5’inci maddesi uyarınca, ilgili kişi ile hastane arasında akdedilen sözleşme sebebiyle “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına ve 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için (veri işlemenin) zorunlu olması” şartına dayalı olarak gerçekleştirildiği,
  • İlgili kişinin e-posta adresinin HBYS ve hastaneler arası iletişim ortamı olan MEDULA yazılımı aracılığı ile Sosyal Güvenlik Kurumu (SGK) sistemlerine aktarıldığı,
  • İlgili kişinin başvurusuna verilen yanıtta belirtildiği üzere, söz konusu e-posta gönderiminin birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığı ve sehven ilgili kişinin onayı dışında gerçekleştiği,
  • Mevcut durumun bir daha tekrar etmemesi adına, ilgili kişinin e-posta adresinin, kendisinin talebi üzerine, ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığı ve ilgili kişiye bir daha e-posta gönderilmeyeceğinin taahhüt edildiği,
  • İlgili personele uyarı yazısının verilmiş olmasının yanı sıra birtakım başka ek tedbirlerin de alındığı, örneğin artık hasta kaydı sırasında kişilerin HBYS kaydının tamamlanabilmesi ve aydınlatma yapılabilmesi adına, hasta kayıt işlemi yaptıran ilgili kişi alıcılara SMS gönderilmesi uygulamasına başlandığı, bahse konu SMS içeriğinde 6698 sayılı Kanun ile 6563 sayılı ETK kapsamında onay vermek isteyen ilgili kişiler için ayrı ayrı, iki adet tek kullanımlık onay kodunun yer almakta olduğu, bu kodların personele iletilmesi durumunda 6698 sayılı Kanun ve 6563 sayılı ETK kapsamında açık rıza ve onay alındığına dair HBYS üzerinde kayıt oluşturulduğu,
  • Bununla birlikte, ilgili kişilerin hastaneye vermiş oldukları e-posta adresini doğrulamak üzere yeni bir sistemin ilerleyen süreçte kullanıma alınacağı, buna göre ilgili kişilerin vermiş oldukları e-posta adresini doğrulamak üzere kendilerine doğrulama linki içeren bir e-posta gönderileceği, bu linke tıklanmaması halinde ilgili kişinin e-posta adresinin HBYS kayıtlarına alınmayacağı,
  • Tüm bunların dışında; veri sorumlusunun hastanelerini ziyaret eden hastalara ait kişisel verilerin işlenmesini detaylıca ele alan aydınlatma metninin daha kapsamlı hale getirilerek veri sorumlusunun internet sitesinde yayınlandığı, ilgili kişilerle reklam amaçlı iletişime geçilmesine olanak tanıyan Misafir İletişim Açık Rıza Beyanı belgesinin düzenlenerek ilgili kişilere sunulduğu, personel eğitimlerine devam edildiği ve eğitim içeriklerinin Kurulun güncel kararları doğrultusunda periyodik olarak güncellendiği, veri sorumlusuna bağlı hastaneler ve genel merkezde faaliyet gösteren Kişisel Verilerin Korunması ve Bilgi Güvenliği Kurulunun teşkil edildiği, bu Kurula seçilenler için özel bir Görevlendirme ve Taahhütname belgesi hazırlandığı,
  • Kişisel Verileri İşleme ve İmha Politikası başta olmak üzere tüm politikaların yeni ihtiyaçlar doğrultusunda güncellendiği

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/01/2022 tarih ve 2022/31 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza  edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • İlgili kişinin şikâyeti hakkında veri sorumlusu tarafından “İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine yapılan başvuru sırasında, hasta kaydı açılırken elde edildiği” bilgisinin verildiği,
  • Bu durumun ise 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ile (ç) bendinde yer alan “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne istinaden gerçekleştirildiğinin ifade edildiği,
  • Hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, 6698 sayılı Kanun ile birlikte diğer sair mevzuata da bir aykırılık teşkil etmediği, ancak somut hadisede ilgili kişinin iletişim bilgisinin, herhangi bir tıbbî bilginin kendisine veya yakınına iletilmesi için değil bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığı, ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticarî amaçlı olduğunun görüldüğü,
  • 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin işlendikleri amaçla sınırlı, bağlantılı ve ölçülü şekilde işlenebileceğinin açıkça belirtildiği, veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesi hukuka uygun olsa da bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız bir şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğinin görüldüğü

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına 

karar verilmiştir.
 

06.01.2022: “İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması”
Karar Tarihi : 06/01/2022
Karar No : 2022/6
Konu Özeti : İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı “…” internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu, şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği, bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu, Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceğinin belirtildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Ticaret Odası’ndan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Türk Ticaret Kanunu hükümleri gereğince tescile tabi olan kayıt, değişiklik ve kayıt silme işlemlerinin Ticaret Sicili Müdürlükleri tarafından MERSİS (Merkezi Sicil Kayıt Sistemi) üzerinden yapıldığı, tescile ait ilan metinlerinin ise MERSİS'te üretilerek Türkiye Ticaret Sicili Gazetesinde yayınlandığı, 
  • Limited şirketlerin kuruluş işleminde ana sözleşmenin ve tüm ortakların tescilinin Türk Ticaret Kanunu’nun 587’nci maddesinde, payların geçiş hallerinin tescilinin ise 598’inci maddesinde düzenlendiği, bu çerçevede; tescile tabi ve üçüncü kişilerin incelemesine açık olan Türkiye Ticaret Sicili Gazetesinde yayınlanan limited şirketlerin pay devrine ilişkin tescillerine ait ilanlarda payı devir alan ortak ile payını devreden ortağa ait ad-soyad bilgisinin yer aldığı, kimlik numarası ve adres bilgisi gibi kişisel verilerin gizlenerek ilan edildiği, 
  • Şirketin ortaklık yapısının mevzuat gereği tescil edilip ilan edilmesi nedeni ile kişinin ortak olarak ya da eski ortak olarak görünmesinin aleni bir bilgi olduğu, kimlik numarası ve adresi gibi kişisel veri niteliği taşımadığı,
  • Bu bağlamda, veri sorumlusunun internet sayfasındaki firma bilgileri içerisinde; Türk Ticaret Kanunu’nun 35 inci maddesi ile Ticaret Sicili Yönetmeliği’nin 15’inci maddesine göre mevzuatın izin verdiği ve Ticaret Sicili Gazetesinde yayınlanarak üçüncü kişilerin incelemesine açık olan bilgilerin yer aldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 06/01/2022 tarih ve 2022/6 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanun’un, “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7’inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu, (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği,
  • İlgili kişinin ad ve soyadının silinmesi talebinin bulunduğu internet sayfası incelendiğinde Ticaret Odası’nın Bilgi Bankasından Şirket bilgilerine göre bir sorgulama yapılabildiğinin görüldüğü, ilgili kişinin eski ortağı olduğu Şirket hakkında ilgili sayfada sorgulama yapıldığında Şirketin sicil numarası, oda sicil numarası, MERSİS numarası, firma unvanı, iş adresi, odaya kayıt tarihi, sermayesi, iş konusu gibi bilgilerin yanı sıra Tescil ve Gazete Bilgileri başlığı altında sicil gazetesine tescil edilen işlemlere ilişkin bilgi, ayrıca ortaklar ve eski ortakların adı, soyadı, görevi ve sermaye miktarına ilişkin bilgilere yer verildiğinin görüldüğü,
  • İlgili kişinin şikâyetinde de ifade edildiği gibi söz konusu Şirketin eski ortağı olarak sorgulama sayfasında ilgili kişinin adı, soyadı ve sermaye miktarının yer aldığının görüldüğü,
    • Öte yandan, Ticaret Sicili’nin tutulması hususuna ilişkin ilgili mevzuat incelendiğinde; 6102 sayılı Türk Ticaret Kanunu’nun “Ticaret Sicili-Kuruluş” başlıklı 24 üncü maddesinin “Gümrük ve Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi müdürlüklere bağlı şubeler de kurabilir.  Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur. Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir. Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı, Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulur. Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle düzenlenir. Ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunur.” hükmünü haiz olduğu, 
    • Türk Ticaret Kanunu’nun “Açıklık” başlıklı 35’inci maddesinin “Tescil işleminin dayanakları olan dilekçe, beyanname, senetler, belgeler ve ilanları içeren gazeteler, üzerlerine sicil defterinin tarih ve numaraları yazılarak sicil müdürlüğünce saklanır. Herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği gibi giderini ödeyerek bunların onaylı suretlerini de alabilir. Bir hususun sicilde kayıtlı olup olmadığına dair onaylı belge de istenebilir. Tescil edilen hususlar, kanun veya Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur. İlan, Türkiye genelinde sicil kayıtlarının ilanına özgü Türkiye Ticaret Sicili Gazetesi ile yapılır.” hükmünü haiz olduğu,
    • Türk Ticaret Kanunu’nun “Tescil ve İlan” başlıklı 587’nci maddesinde “Şirket sözleşmesinin tamamı, kurucuların imzalarının ticaret sicili müdürlüğünde yetkilendirilmiş personelin huzurunda imzalandığı tarihi izleyen otuz gün içinde, şirketin merkezinin bulunduğu yer ticaret siciline tescil ve Türkiye Ticaret Sicili Gazetesinde ilan olunur. Tescil ve ilan edilen şirket sözleşmesine, aşağıda sayılanlar dışında, 36’ncı maddenin birinci fıkrası hükmü uygulanmaz: Şirket sözleşmesinin tarihi, Şirketin ticaret unvanı ve merkezi, esas noktaları belirtilmiş ve tanımlanmış şekilde şirketin işletme konusu; şirket sözleşmesinde bu konuda bir hüküm varsa, şirketin süresi, esas sermayenin itibarî değeri, gerçek kişi ortağın adı ve soyadı, yerleşim yeri, tüzel kişi ortakların unvanı, merkezleri ve her ortağın üstlendiği esas sermaye payları, ayni sermayenin konusu ve bu tür sermayenin karşılığında verilecek esas sermaye payları; ...” şeklinde hüküm bulunduğu, aynı Kanun’un Tescil başlıklı 598’inci maddesinde ise “Esas sermaye paylarının geçişlerinin tescil edilmesi için, şirket müdürleri tarafından ticaret siciline başvurulur. Başvurunun otuz gün içinde yapılmaması hâlinde, ayrılan ortak, adının bu paylarla ilgili olarak silinmesi için ticaret siciline başvurabilir. Bunun üzerine sicil müdürü, şirkete, iktisap edenin adının bildirilmesi için süre verir. Sicil kaydına güvenen iyiniyetli kişinin güveni korunur.” hükmünün yer aldığı,
    • Türk Ticaret Kanunu’nun 26’ncı maddesine dayanılarak hazırlanan Ticaret Sicili Yönetmeliği’nin “Sicil kayıtlarına erişim hakkı” başlıklı 15’inci maddesi “Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir… Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir. Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.” şeklinde düzenlendiği,
    • Aynı Yönetmelik’in “Sicil İşlemlerinin Tabi Olduğu Hükümler” başlıklı 28’inci maddesi “(1) Sicile ait tescil, değişiklik ve silinmeler ile diğer iş ve işlemler Kanun ve bu Yönetmelik hükümlerine göre yapılır.(2) Tescil, bir olgunun sicile geçirilmesini; değişiklik, tescil edilmiş bir olgudaki değişiklik dolayısıyla sicildeki kayıtların değiştirilmesini veya düzeltilmesini; silinme ise tescil edilmiş olan bir olgunun ortadan kalkması veya sona ermesi sebebiyle ona ait kayıtların silinmesini ifade eder.” hükmüne, “Tescil edilmiş olgularda değişiklikler” başlıklı 29’uncu maddesinin “Tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceğini, “Tescil ve ilanın üçüncü kişilere etkisi” başlıklı 30’uncu maddesinin ise bir olgunun tescil ile beraber derhal üçüncü kişiler hakkında sonuç doğuracağını belirten hükümlere sahip olduğu,
    • Türkiye Cumhuriyeti Anayasası’nın “Kamu Kurumu Niteliğindeki Meslek Kuruluşları” başlıklı 135’inci maddesinde “Kamu kurumu niteliğindeki meslek kuruluşları ve üst kuruluşları; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, meslek mensuplarının birbirleri ile ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hakim kılmak üzere meslek disiplini ve ahlakını korumak maksadı ile kanunla kurulan ve organları kendi üyeleri tarafından kanunda gösterilen usullere göre yargı gözetimi altında, gizli oyla seçilen kamu tüzel kişilikleridir.” hükmünün yer aldığı, 
    • 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odalar” başlıklı 4’üncü maddesinde odaların üyelerinin müşterek ihtiyaçlarını karşılamak, meslekî faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, mensuplarının birbirleri ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hâkim kılmak üzere meslekî disiplin, ahlâk ve dayanışmayı korumak ve bu Kanunda yazılı hizmetler ile mevzuatla odalara verilen görevleri yerine getirmek amacıyla kurulan, tüzel kişiliğe sahip kamu kurumu niteliğinde meslek kuruluşları olduğunun belirtildiği,
    • Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odaların Görevleri” başlıklı 12 nci maddesinin “Odaların görevleri şunlardır:…  Ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek.” şeklinde düzenlendiği,
    • Bu çerçevede ticaret sicilinin, Ticaret Bakanlığının gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulacağı düzenlenmiş olup Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulacağı hükmünden de anlaşılacağı üzere ticaret sicili müdürlüklerinin il merkezindeki ticaret odasına bağlı olarak faaliyet gösterdiği, 
    • Öte yandan, kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanının, Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulduğu,
    • Türk Ticaret Kanunu’nun ve Ticaret Sicili Yönetmeliği’nin ilgili maddeleri çerçevesinde, herkesin sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği ve bu incelemenin elektronik ortamda ve/veya müdürlükte yapılabileceği ile tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceği 
  • anlaşılmakta olup Şirketin pay devrine ilişkin değişikliğin ticaret sicili gazetesinde tescil edildiği, söz konusu ticaret sicilinin tutulmasından sorumlu ticaret sicil müdürlüklerinin de ticaret odalarına bağlı olarak faaliyet gösterdiği dikkate alındığında söz konusu bilgilerin ticaret odası bünyesinde hâlihazırda mevcut olduğu sonucuna varıldığı,
    • Ayrıca, ticaret sicil gazetesinde yer alan bir bilginin ticaret odasının sayfasında bulunmasındaki amacın yine ticaret sicil işlemlerine ilişkin bilginin daha kolay ulaşılabilir olmasını sağlamak adına gerçekleştirildiği, bununla birlikte söz konusu bilgiye yalnızca ilgilileri tarafından ticaret odasının sayfasındaki bilgi bankası platformundan firma bilgileri girilmek suretiyle erişildiği, söz konusu bilginin ticaret sicil gazetesinde yayınlanma amacından farklı bir amaçla yayınlandığına ilişkin herhangi bir emare bulunmadığı dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4 üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, diğer yandan söz konusu bilginin ilgili kişi tarafından da belirtildiği üzere doğru olduğu ve yayınlanmasında amaca aykırılık bulunmadığı,
    • Diğer taraftan, Anayasa’da ve Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda yer aldığı üzere Kamu Kurumu niteliğindeki meslek kuruluşları ve üst kuruluşlarının; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak amacıyla kurulan kamu tüzel kişilikleri olduğu, 
    • Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere; ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek şeklinde odalara görev ve sorumlulukların yüklendiği 
  • dikkate alındığında ilgili Ticaret Odası tarafından “…”internet sayfasında Bilgi Bankası bölümünden firma bilgileri girilmek suretiyle sorgulama yapılmasına ve ticaret sicili gazetesindeki bilgilerin bu platformda yer alması suretiyle bilgiye ulaşımın kolaylaştırılmasına imkân sağlanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda ticaret odaları için öngörülen yükümlülükler kapsamında değerlendirilebileceği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinde yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmüne istinaden söz konusu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı sonucuna varılmış olup ilgili kişinin bu yöndeki talebi ile ilgili olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.
     
23.12.2021: “Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması”
Karar Tarihi : 23/12/2021
Karar No : 2021/1303
Konu Özeti : Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması

 

Kuruma intikal eden ihbarda özetle;

  • İhbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu, 
  • Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
  • Bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı bir takım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı

ifade edilerek, yukarıda belirtilen hususların6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir.

Söz konusu ihbara ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiş olup Kurum tarafından dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen tespit edilebilen araç kiralama yazılımı üreticisi şirketleri muhatap bilgi, belge ve savunma talepli yazılar ile yukarıdaki iddialar çerçevesinde kişisel veri işleme faaliyetlerinin detayı ve iddia edildiği üzere bir kara liste uygulamasının mevcut olup olmadığı yönünde bilgi talep edilmiştir. Bu çerçevede araç kiralama yazılımı üreticisi şirketler tarafından Kuruma gönderilen yazılarda genel olarak Şirketlerin yazdığı yazılım programlarının araç kiralama firmalarının operasyonlarını yönetebilmesi için hazırlandığı, bu yazılım programlarında araç kiralama sözleşmesi için zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kimlik ve ehliyet gibi bir takım kişisel verilerin kaydedildiği, araç kiralama firmalarına sundukları işletme faaliyetlerinin; sözleşme kurulduktan sonra bu şirketlere kullanıcı adı ve şifre verilmesi, kullanıma başlanılmasını takiben araç kayıtlarının tutulması, kira sözleşmelerinin, rezervasyonların ve bunlarla ilişkili muhasebe işlemlerinin kaydının tutulması olduğu bilgilerine yer verilmiştir. 

Ek olarak bazı yazılım şirketleri tarafından;

  • Kişisel verilerin işlenmesinin amacının; üye araç kiralama firmalarının kendi müşterilerine kolay ulaşmak, onları kampanyalardan haberdar edebilmek, araç teslimi noktasında bilgilendirme amaçlı SMS gönderebilmek ve sorunlu olan müşteriler (aracı geç teslim eden, kendi kusurlarıyla kaza yapan, kiralama bedelini ödemeyen vb.) program üyesi başka araç kiralama firmalarından araç kiralamak istediğinde müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek olduğu; hukuki açıdan ise kişisel verilerin işlenmesindeki amaçlardan birinin aydınlatma metninde belirtilen müşteri memnuniyeti, firma zarar riski araç güvenirliliği sağlamak için müşteri hakkındaki iyi/kötü yorumların diğer program ortaklarıyla paylaşılabilmesi olduğu,
  • Bu anlamda programların amacının araç kiralama firmalarını tek çatı altında toplamak, kendi aralarında bilgi akışını sağlamak, sisteme kaydettikleri araçların takibini, trafik ceza durumlarını vb. birçok hususu anlık görebildikleri dijital ortam yaratmak olduğu,
  • Yazılım programlarının araç kiralama firmaları tarafından satın alınması ile kişisel veri sisteme işlendiğinden kişisel verilerin araç kiralama firmalarının müşterilerinin kendisi tarafından alenileştirildiği,
  • İmzalanan sözleşmelerde “… araç kiralama sözleşmesi vasıtasıyla ilettiğim ve sair yöntemlerle vermiş olduğum kişisel bilgilerimin tek başına ve/veya başka kişisel verilerle birleştirilerek ticari olarak kullanılmak üzere toplanmasına, işlenmesine, bunu hakkımdaki iyi/köyü yorumlarla birlikte diğer program ortakları ile paylaşılmasına ve aksini yazılı olarak belirtmediğim sürece bu firmaların benimle SMS, internet, mektup, telefon vb. kanallardan temasa geçmelerine aşağıya attığım imza ile açıkça rıza ve muvafakat ederim.” uyarısı ve müşteri rızası ile araç kiralama firmasının müşterisinin kişisel bilgilerinin üye araç kiralama firması tarafından program veri tabanına kaydedildiği,
  • Müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından şirketlerinin sorumlu olmadığı,
  • Program üyeleri ile yapılan üyelik sözleşmesinde veri sorumlularının sisteme ekledikleri veriler için muhakkak kişilerin açık rızasının alınması gerektiğinin düzenlendiği; yazılım şirketleri veri sorumlusu olmadığı için hangi verinin hukuka aykırı olarak eklendiğinin tespitinin mümkün olmadığı

açıklamalarına yer verilirken; diğer yazılım şirketleri tarafından ise

  • Verilen kullanıcı adı ve şifrelerin her bir müşteri araç kiralama firmasına ayrı ayrı özgülendiği bu nedenle bir araç kiralama firması tarafından  girilen araba kiralayan kişi veya kişilere ait verilere bir başka araç kiralama firması tarafından erişilmesinin mümkün olmadığı,
  • Aynı zamanda bu firmaların üçüncü kişilere ait verilere müdahale hakkının bulunmadığı ve bunun yanı sıra araç kiralama firmalarının müşteri havuzlarının kara liste sistemleriyle bağlantılı olmadığı,
  • Ürettikleri yazılım vasıtasıyla araç kiralama firmalarının müşteri bilgilerinin başka bir ortama aktarılmasının, başka firmalarca bu bilgilere ulaşılmasının veya şirketleri tarafından paylaşılmasının ya da ekran görüntüsü alınarak internet ortamlarında paylaşılmasının söz konusu olmadığı,
  • Müşteri araç kiralama firmaları tarafından sisteme işlenen veriler yönünden bu firmaların, verisini işlediği gerçek veya tüzel kişiden açık rıza alma şartının aranabileceği, fakat yazılımcı olan şirketlerinin sadece araç kiralama firmalarının müşterilerine ait verileri gizli tutma yükümlülüğü nedeniyle gizlilik politikası uyarınca sorumlu olduğu,
  • Araç kiralama firmalarının uygulama üzerinden kiralama bilgilerini doldurması ile programlar tarafından otomatik hazırlanan sözleşmeyi kendi müşterileriyle imza altına alarak kiralama işlemi gerçekleştirdiği,
  • Yazılım şirketlerinin veri sorumlusu olmadığı ve veri girişi yapmadığı; veri sorumlularının kendi müşterileri ile sözleşme yapan ve açık rızalarını alan araç kiralama firmaları olduğu; yazılım şirketlerinin ise eklenen verileri sadece saklamak ve diğer program üyeleri ile paylaşmakla yükümlü olduğu,
  • İlgili kişilerden elde edilen kimlik, adres ve telefon bilgilerinin ise Emniyet Genel Müdürlüğünün ve Kiralık Araç Bildirim Sisteminin (KABİS) oto kiralama firmalarına belirttiği şekilde saklandığı,
  • Kişisel verilerin toplanması, toplama yöntemleri, toplanacak kişisel veri türleri, toplanan verilerin hangi amaç ile kullanılacağı ve hangi bireylerin kişisel verilerinin toplanacağına araç kiralama firmalarınca karar verildiği; hizmet sözleşmeleri ile yükümlülüğün araç kiralama firmalarına bırakıldığı

ifadelerinin yer aldığı görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde Kurulun 23.12.2021 tarihli ve 2021/1303 sayılı Kararı aşağıdaki değerlendirmelere ulaşılmıştır.

1.    Araç Kiralama Programı Yazılım Şirketlerinin ve Araç Kiralama Firmalarının Veri Sorumluluğu Sıfatına İlişkin Değerlendirme

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusu, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
  • Kanun çerçevesinde bir işleme faaliyetinde veri sorumlusu veya veri işleyenin tespiti için işlenecek kişisel verileri, gerçekleşecek veri işleme faaliyetini, bu işlemenin amaçlarını ve şeklini kimin belirlediğinin göz önünde bulundurulması gerekmektedir. Bu çerçevede, veri işlemenin parçası olarak yalnızca veri sorumlusu tarafından:
    • İşleme faaliyetinin yasal dayanağı,
    • İşlenecek kişisel verilerin türleri,
    • Verilerin kullanılacağı amaç(lar),
    • İlgili kişilerin kimler olacağı (hedef kitle),
    • Verilerin aktarılıp aktarılmayacağı ve aktarılacak ise kime aktarılacağı;
    • Bireylerin hakları doğrultusunda veri sorumlusuna yapılan başvurulara nasıl cevap verileceği; verilerin ne kadar süreyle saklanacağı, değiştirileceği veya anonim hale getirileceği 

hususlarına karar verilebilecekken, veri işleyen tarafından ise ancak, veri sorumlusu ile yaptığı sözleşme şartları içinde sınırlı olarak;

  •  Kişisel veri toplamak için bilgisayar teknolojisi sistemlerinin veya diğer hangi yöntemlerin kullanılacağı,
  • Kişisel verilerin nasıl depolanacağı,
  • Kişisel verileri korumak için alınacak güvenlik önlemlerinin ayrıntıları,
  • Kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağı,
  • Belirli kişilerle ilgili kişisel verilerin nasıl elde edileceği (otomatik/otomatik olmayan yöntemler),
  • Saklama sürelerine uyulmasının nasıl sağlanacağı; verilerin nasıl silineceği veya imha edileceği

hususlarına karar verebilir.

 

  • Bu çerçevede ihbarda belirtilen iddialara ilişkin olarak öncelikle veri işleme faaliyetinin tayini ile veri sorumlusunun belirlenmesi gerekmektedir. Öyle ki kişisel verileri toplanan hedef kitle araç kiralama firmalarının müşterileri olup işleme faaliyetinin başlıca yasal dayanağı müşterilerle araç kiralama firmaları arasında imzalanan kira sözleşmesidir. Araç kiralama firmaları müşterilerine ait verileri toplamak için yazılım şirketlerine başvurarak özel bir yazılım geliştirilmesini talep etmiş yahut bu iş için kullanılmakta olan bir yazılımı satın almış olabilir. Diğer bir ifade ile araç kiralama firmaları ile bu yazılımları üreten şirketler arasındaki hukuki ilişki satış ya da hizmet sözleşmesi olarak adlandırılabilir. Her iki durumda da araç kiralama firmalarının müşterilerine ilişkin verileri kayıt altında tutacağı söz konusu yazılımların ‘yaşayan birer organizma’ olduğunu söylemek mümkündür. Öyle ki müşterilere ilişkin veri girişinin araç kiralama firmaları tarafından yapılıyor oluşu veri sorumlusu sıfatının tanımlanmasında tek başına yol gösterici bir belirteç değildir.
  • Veri sorumlusu olmanın belirleyicilerinden biri hangi verilerin işleneceğine sürecin başından itibaren kimin karar verdiğidir. Veri işleyen uhdesine bırakılacak işleme sürecinin teknik bilgi ve alanda uzmanlık gerektirmesi bu anlamda karar yetkisinin veri işleyende olduğu yanılgısını beraberinde getirmektedir. Oysaki veri işleyen, kendi adına bu verileri kullanmadan, veri sorumlusundan gelen talimat üzerine verileri toplayıp işlemektedir.
  • Bu anlamda, ortak bir amacın varlığı ve kişisel verilerin işlenmesindeki temel araçların birlikte belirlenmesi ortak veri sorumluluğunu beraberinde getirmekte olup ortak veri sorumlularından biri işlenmekte olan kişisel verilere erişemese dahi, bu erişememe durumu ortak veri sorumluluğunu etkilememektedir. İhbara konu yazılım şirketlerinin araç kiralama firmaları tarafından girilen verilere erişememesi bu anlamda tek başına veri sorumlusu olmayacağı anlamına gelmemektedir. Öyle ki bir araç kiralama firmasının kara listeye alarak kaydettiği bir müşterinin kişisel verilerinin bu yazılım şirketine ait internet sitesi/veri tabanı aracılığıyla bir bulutta toplanıyor olması durumunda, söz konusu yazılım şirketlerinin depoladıkları bu verilere doğrudan erişimleri olmadan da onları kendi amaçları doğrultusunda kullandığı yorumunu yapmak mümkün olabilecektir.
  • Ortak veri sorumlularının yükümlülüklerinin eşit olarak paylaşılması zorunlu değildir, araç kiralama hizmeti sunan yazılım şirketine ait internet sitesinin araç kiralama firmalarından, araç kiralanmasına yönelik aydınlatma metni sunması ve verinin aktarımına ilişkin açık rıza alması da mümkündür. Bu tarz bir ortaklıkta veri işlemenin esaslarının belirlenebilmesi adına iki veri sorumlusu arasında söz konusu sürece ilişkin bir sözleşme yapılması sorumlulukların belirlenmesi (müşterek sorumluluk) açısından önem taşımaktadır, aksi takdirde herkes kusuru oranında ortaya çıkacak ihlallerden sorumludur. Bununla birlikte, yazılım şirketlerinin “Araç kiralama firmaları tarafından uygulama içerisine kaydedilen verileri depoluyor ve güvenliği sağlıyoruz, bu verilerin içeriğine erişimimiz yok” açıklaması ve sözleşme içeriğine “Yazılım ürünlerinin yanlış kullanılmasından, müşteriler tarafından kendi müşterileriyle alakalı fişlemeye girebilecek bilgilerin saklanmasından ve kullanılmasından yazılım şirketimiz sorumlu değildir” vb. kayıtlar koyması ile söz konusu uygulamaya girilen bu tarz kişisel verileri başka kullanıcıların (araç kiralama firmalarının) erişimine açıyor olması, araç kiralama firması ile yazılım şirketi arasında sorumluluğun sözleşme ile paylaşıldığı anlamına gelmemektedir.
  • Öte yandan idari para cezaları için genel kanun niteliğinde olan 5326 sayılı Kabahatler Kanunu’nun genel hükümleri arasında yer alan “İdari Para Cezaları” başlıklı 17’nci maddesinin 2’nci fıkrasında, idari para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı karara bağlanmıştır. Kurul tarafından idari para cezalarının miktarı belirlenirken de Kanunun 18’inci maddesi gereğince kabahat bazında bir ayrıma gidilmiştir. Ceza miktarının hesabında ihlalin niteliği, veri sorumlusunun niyeti, ilgili kişilere verilen zararı azaltmak için alınan önlemler, veri güvenliğine ilişkin alınan rutin önleyici tedbirler, inceleme faaliyeti sırasında veya ihlal sonrası Kurumla yapılan işbirliği ve ihlale konu veri türü gibi faktörler önemlidir.
  • Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusur ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekmektedir. Hukuka aykırı bir fiilin sorumluluk gerektirebilmesi için kişinin kusurlu olması gerekir. Kusur hem ceza hukukunda hem medenî hukukta hem de idare hukukunda ortak bir konudur. 6098 sayılı Borçlar Kanununda kusurun, sorumluluğun kurucu unsurlarından bir tanesi olduğu belirtilmiştir. Temelde ise söz konusu hukuka aykırı eylem bir haksız fiile vücut vermektedir. Kabahatler Kanununun 2’nci maddesine göre “Kabahat deyiminden; kanunun, karşılığında idarî yaptırım uygulanmasını öngördüğü haksızlık anlaşılır.” Kabahatler Kanununun 9’uncu maddesi gereğince kabahatin işlenebilmesi için kasıt ya da taksir şartı aranmaktadır. Kabahatler Kanununun 12’inci maddesinde ise aksine hüküm bulunmayan hallerde TCK’daki hukuka uygunluk nedenleri ile kusurluluğu ortadan kaldıran nedenlerin kabahatler bakımından da uygulanması gerektiği öngörülmektedir. Anayasa’nın 38’inci maddesinin 7’nci fıkrasında ve TCK’nın 20’nci maddesinin 1’inci fıkrasında cezaların şahsiliği ilkesine yer verilmiş ve suçun işlenmesine bizzat veya dolaylı olarak katılmadıkça kimsenin bir suçtan dolayı sorumlu tutulamayacağı ifade edilmiştir. Bu doğrultuda, veri sorumlusu sıfatına sahip olan her kişi 6698 sayılı Kanunun 12’nci maddesi gereğince hukuka aykırı eylemlerinden dolayı cezai müeyyideye tabi olabilecektir.
  • Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilmesi yerinde olacaktır. Örneğin araç kiralama firmalarına 2015 yılından beri Kiralık Araç Bildirim Sistemi (KABİS) kullanma zorunluluğu getirilmiştir. 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama firmalarının sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde bir düzenleme mevcuttur. Bu durumda mevzuat gereğince araç kiralama firmalarının tutmakla yükümlü olduğu verilerin hatalı ve eksik girilmiş veya girilmemiş olmasından araç kiralama firmaları sorumlu olacaktır. Araç kiralama firmaları ile birlikte ortak veri sorumlusu kabul edilebilecek yazılım şirketlerinin bu süreçte veri işleme faaliyetinde bir sorumluluğu olmadığı değerlendirilmektedir. Kısacası belirtilen hal ve koşullar altında toplanan veri üzerinde, söz konusu veri ilk elden başka bir veri sorumlusu tarafından elde edilmiş olsa bile, ilerleyen süreçlerde söz konusu kişisel veriler ile ilgili veri sorumlusu gibi hareket eden herkes Kanun gereğince veri sorumlusunun yükümlülükleri ile bağlıdır.

2.    Yazılım Şirketlerinin Sundukları Hizmeti Bulut Teknoloji Altyapısı ile Gerçekleştirmelerine İlişkin Değerlendirme

  • İhbara konu olayda yazılım şirketleri çevrimiçi ağ (network) üzerinden bulut bilişim (BT) vasıtasıyla araç kiralama firmalarına hizmet sunmaktadır. Bulut bilişim, ağ tarayıcılarıyla erişilen siteler sayesinde uygulamaların internet üzerinden kullanılmasını sağlamaktadır. Bir şirket, bulut bilişim kullanmakta ise bu şirketin BT altyapısı şirket dışında bulut bilişim sağlayıcı tarafından muhafaza edilen bir veri merkezinde depolanmaktadır. Üç ana bulut servisi türü vardır: Yazılım Hizmetleri (SaaS), Platform Hizmetleri (PaaS) ve Altyapı Hizmetleri (IaaS). 
  • Standart süreçlerde yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service)  şeklinde şirketler tarafından geliştirilen yazılım üzerinden araç kiralama firmalarına bir nevi platform olarak hizmet sunulması olduğu anlaşılmıştır. SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetimi yazılım şirketlerinde olup müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde “admin” yetkisine sahip kullanıcıların atandığı görülmüştür. Sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, müşterinin yazılım kodlarına müdahalesine izin verilmediği, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olduğu, sistemin düzgün işlemesi için gerekli fonksiyonları değiştirmeye yetkisinin ise bulunmadığı tespit edilen bir başka husustur.

3.    Veri İşleme Faaliyeti Sırasında İlgili Kişilerin Aleyhlerine Ortaya Çıkan Sonuçlara İtiraz Etme Haklarına ve Profillemeye İlişkin Değerlendirme

  • Uluslararası uygulamada bireyin davranışlarının analiz edilerek bunu izleyen davranışları hakkında tahminlerde bulunmak adına bireyin kişisel verilerinin otomatik olarak işlenmesi “profilleme” olarak adlandırılmaktadır. "Tahmin" kelimesinin kullanılması aslında profil oluşturmanın bir kişi hakkında bir tür değerlendirme veya yargı içerdiğini göstermektedir. 
  • Profillemenin her zaman olumsuz bir eylem olduğunu söylemek doğru değildir. Bireylerin temel haklarını ve güvenliklerini tehdit etmeyecek şekilde bir noktaya kadar profillerinin oluşturulması makul görülmektedir. Bireyin profiline ilişkin kullanılan kıstaslar ve işleme süreci hangi noktaya kadar profillemeye izin verilebileceğinin olay bazında incelenmesi gereğini de birlikte getirmektedir. Söz konusu profil oluşturma sırasında istenmeyen/hedeflenmeyen sonuçların ortaya çıkması da muhtemeldir. Oluşturulan profil, ilgili kişiyi tek bir kategoriye sabitleyerek seçeneklerini kendisine önerilenlerle sınırlayabilir öyle ki hatalı tahminlere dayanan varsayımlar nedeniyle bir hizmetten kısmen veya tamamen yararlanamama sonucunda ilgili kişinin ayrımcılığa uğramasına ya da olumsuz bir sonuçla karşılaşmasına da sebebiyet verebilir.
  • 6698 sayılı Kanun’un lafzında ilgili kişinin haklarının sayıldığı 11’inci maddeye bakıldığında ilgili kişilerin “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı olduğu görülmektedir. Yani mevzuatın, profilleme faaliyeti için gerekli olan otomatik veri işleme nedeniyle olumsuz bir sonuç doğacağı durumlarda ilgili kişilere bu işlemeye itiraz etme hakkı tanıdığını söylemek mümkündür. 
  • Veri sorumluları genel ilkelere uygun hareket ettikleri ve kişisel verilerin işlenmesinde yasal bir temele sahip oldukları sürece profil oluşturma ve otomatik karar verme sistemleri kullanma hakkına sahiptir. Bu kapsamda, ilgili kişilerin, kara liste uygulaması amacıyla profillemeye tabi olduğu hallerde dahi olay özelinde bu durumu Kanunun 4’üncü maddesi gereğince genel ilkelere ve 5’inci maddesi gereğince belirtilen şartlara uygun veri işlendiği şeklinde yorumlamak mümkündür. Ancak 5’inci madde gereğince ilgili kişinin açık rızası dışında kalan hallerden olan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
    • Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
    • Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
    • Meşru menfaatin hali hazırda mevcut, belirli ve açık olması,
    • İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
    • Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
    • Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
    • Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
    • Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
    • Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

hususlarının değerlendirilmesi gerekmektedir. Yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun söz konusu bilgiyi otomatik işleme tabi tutması ile sağlayacağı menfaatler arasında denge testi yapılırken yarışan menfaatlerden hangisinin ağır bastığı veri sorumlusunca tespit edilmelidir. Ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği tabidir.

  • İhbar konusu kapsamında ise söz konusu inceleme sırasında bazı araç kiralama firmalarının internet sitelerinde, kiralanan araçların bu yazılım üzerinden takip edilebileceği hususunda otomatik veri işleme faaliyeti gerçekleştirildiği beyan edilmektedir. Araçlarının konum bilgilerinin takip edildiği durumlarda veri sorumluları tarafından ilgili kişilerin kişisel verileri işlenirken, konum verilerinin işlenmesinin özellikle ilgili kişilerin yaşam alışkanlıklarını ortaya çıkarabileceği akılda tutulmalıdır. Kullanılan uygulamaların, gerçekleştirilen yolculukların, iş yeri ve ikamet yeri ile sürücünün ziyaret ettiği diğer yerlerin konum bilgilerinin öğrenilmesine olanak sağlamasının kişi hakkında bir profil çıkarılmasına ve yaşam alışkanlıklarından hareketle ilgili kişinin özel nitelikli verilerini de ihtiva edebilecek (dini, inancı, cinsel hayatına ilişkin bilgiler vb.) pek çok verisinin ortaya çıkmasına sebebiyet vererek ilgili kişi açısından olumsuz bir sonuç meydana getirebilecektir. Buna göre, konum verilerinin toplanması yoluna gidilmesinin istisnai olarak uygulanan bir durum olması gerektiği değerlendirilmektedir.
  • Öte yandan konum bilgilerinin yanı sıra müşterilerin sözleşme ilişkisi boyunca kiraladığı araca verdiği zararın veya aracı teslim sürecinde yarattığı gecikmenin ya da ödeme konusunda yol açtığı sorunların veri sorumlusunca bir sisteme girilerek kaydediliyor oluşu, başlı başına konum izlemesinde olduğu gibi bir profilleme faaliyetini gündeme getirmeyecektir. Çünkü öncelikle veri sorumlusu tarafından girilen verilerin otomatik işleme tabi tutularak ilgili kişiler hakkında mekanik bir sonucun çıkması profillemeden beklenen sonuçtur. Burada ise “A kişisinin teslim ettiği aracın ön camının çatlamış olduğu görüldü/ koltuklarda sigaradan kaynaklı olduğu tespit edilen yanıkların olduğu görüldü vb.” gibi hususların veri sorumlusunca “kara liste” başlığı altında kayıt altına alınması ancak kısmen otomatik olan bir veri işlemedir. Ancak, kara liste kaydı sonucunda kişi hakkında otomatik bir karara varılması söz konusu ise (bu kişiye araç kiralanamaz uyarısı vb.) bu durumda uygulamanın otomatik bir işleme olduğunu söylemek mümkün olacaktır. 
  • Kanunun 5’inci maddesi gereğince veri sorumlularının meşru menfaati gereği veri işlemesinin zorunlu olduğu durumlarda denge testi yapılması gerekmektedir. Araç kiralama firmalarının faaliyet alanları ile ilgili olarak, bu firmaların çalışanları ve akdi ilişkide oldukları gerçek ve tüzel kişilerce bilinen; işletmenin ticari başarısı ve verimliliği için önem arz eden; rakiplerine karşı kendisi için avantaj teşkil eden; gerek kamuya gerekse ilgisi olmayan şahıslara açıklanmaması gereken; firmanın iç işleyişi, mali ve iktisadi durumu, faaliyet hedef ve stratejisi, fiyatlandırma uygulaması bilgisi, pazarlama stratejisi ve taktikleri, müşteri potansiyeli ve ağ bilgisi, her türlü sözleşme, protokol bilgileri gibi bu türden tüm bilgi/belgeyi ifade eden ve kendisini zarara uğrattığını düşündüğü bu kişilere ilişkin oluşturduğu kayıtlar şirket ticari sırrı olarak kullanılabilir niteliktedir. TTK’nin 527’nci maddesi hükmü gereğince 404’üncü madde hükmü saklı kalmak üzere, görevi dolayısıyla incelemesine sunulan defter ve belgeleri inceleyenlerin, elde ettikleri veya verilen bilgilerden öğrendikleri iş ve işletme sırlarını açıklamaları yasaktır. Aksi hâlde bu kişiler şirketin maddi ve manevi zararını tazmin etmek zorundadır. TCK’nın 239’uncu maddesinde ise bu minvalden verileri yetkisiz kişilere verenler veya ifşa edenler hakkında cezai yaptırım uygulanacağı öngörülmüştür. Söz konusu ticari sırlar aynı zamanda müşterilere ilişkin kişisel veriler de içermektedir. Kanuni yükümlülükler gereğince de işletme faaliyetleriyle sınırlı olmak üzere kullanılabilecek bu verilerin sırf kişinin “kara liste”ye kaydedilmesine sebebiyet verecek bir davranışı olmasından bahisle kişinin özel hayatının gizliliğini ve kişisel verilerinin korunmasını isteme hakkını ihlal etmeyeceği değerlendirilmektedir. Ancak belirtilen alana girilecek verilerin sınırlı olmadığı düşünüldüğünde kişinin ayrımcılığa uğramasına sebebiyet verecek ve davranışsal durumlar haricinde kalan genel ve özel nitelikli verilere yer verilmesi durumunda artık bir ticari sırrın varlığından bahsetmek mümkün değildir (Örneğin; cinsel yönelimi sebebiyle kişinin kara listeye alınarak araç kiralama hizmetinden yararlandırılmaması). Elbette ilgili kişinin kara listeye alınması sebebi ne olursa olsun şunu belirtmekte fayda vardır ki bu sebebe erişim hakkı olan herkes kendi değerlendirme ve imtiyaz hakkına sahiptir, ilgili kişinin A firmasından hizmet alamıyor olması B firmasından da hizmet alamayacağı anlamına gelmemektedir. Bu kapsamda sisteme girilen verilerin mevzuata uygun edinilip işlendiği yönünde Kanun gereğince veri sorumlusu sıfatını haiz olan taraf araç kiralama firmalarıdır. 
  • Araç kiralama firmalarının acentelerinde veya şubelerinde söz konusu listede yer alan ilgili kişiler hakkında yaptığı yorumun görünür kılınması ise bu ticari sırrın kullanımından öteye gitmediği sürece meşru menfaat kıstasına uygun bir işleme olarak kabul edilebilir. Ancak söz konusu ihbarda yer alan yazılım şirketlerinin araç kiralama firmalarının müşterileri hakkında yaptığı yorumlara dayanan “kara liste” uygulamasını yine aynı yazılımı kullanmakta olan diğer araç kiralama firmalarınca da görünür kılması ve hatta bu özelliği bir pazarlama stratejisi olarak öne sürmesi ne meşru menfaat kıstası ne de araç kiralama firmalarının talimatı doğrultusunda yapılan hukuka uygun bir veri işleme olarak değerlendirilebilir. 

4.    Kişisel Verilerin Kara Liste Uygulaması ile Diğer Kullanıcıların Erişimine Açılmasına İlişkin Değerlendirme

  • Kanunun 8’inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.
  • Kişisel verilerin "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Veri sorumlusu aktarım için hizmet alabileceği gibi bu veriyi kendisi aktarmayı da seçebilir. Ancak veriyi aktaran kim olursa olsun (ister veri işleyen, ister veri sorumlusu) bu kişisel veriye erişebilir, onun ne olduğunu görebilir ve kullanabilir. Bu sebeple yapılacak nitelendirmeye göre veriyi aktarma yetkisi olan kişinin sorumluluğu belirlenmelidir.
  • Araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilerek diğer firmalarca yapılan yorumların da bu alana eklenebiliyor olması hem müşteri sırrının (ticari sır) ifşası hem de kişisel verilerin ifşası anlamına gelmektedir. Bu kapsamda artık yalnızca araç kiralama firmalarının veri sorumlusu olduğundan bahsetmek mümkün değildir. Yazılımın özelliği olarak sunulan bu veri aktarım faaliyeti artık araç kiralama firmalarınca girilen ilgili kişilere ait kişisel verilerin yazılım şirketleri tarafından kullanılması anlamına gelmektedir. İlgili kişilere ait bu tarz verilerin aktarılabilmesi için Kanun’un 5 ve 6’ncı maddelerine dayanan bir hukuka uygunluk sebebi bulunmalıdır. “Kara liste” uygulamasının doğası gereği ilgili kişilerin bu duruma rızası olması beklenemeyeceğinden 5’inci maddenin (2) numaralı ya da 6’ncı maddenin (3) numaralı fıkrasındaki şartların varlığı gerekmektedir. Yazılım şirketlerinin araç kiralama firmalarının müşterilerine ait verileri işleme noktasında bir yasal yükümlülüğü bulunduğunu söylemek mümkün olmadığından bu tarz verilerin ancak yukarıda açıklanan meşru menfaat kıstası çerçevesinde söz konusu araç kiralama firmasının “iş ortakları, şubeleri veya acenteleri” ile paylaşılmasının mevzuat uyarınca mümkün olacağı değerlendirilmektedir. Ancak burada aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu sıfatıyla ilgili kişilere aydınlatma metni aracılığıyla aktarım öncesi bildirilmiş olması gerekmektedir. Oysaki görülen uygulamada söz konusu aktarım faaliyetinin araç kiralama firmalarınca direkt kendilerinden diğer firmalara değil öncelikli olarak yazılıma yapıldığı; bu durumun da araç kiralama firmalarınca paylaşıma açılan verilerin, hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vermesinden ötürü başta veri işlemenin temel ilkelerine sonrasında da veri aktarımının genel prensiplerine aykırılık oluşmasına neden olduğu değerlendirilmektedir.

Yukarıda yer alan açıklamalar ışığında veri işleme süreçlerinin fiziksel olarak nasıl yürütüldüğünün söz konusu ihbarda yer alan iddialar, veri sorumlularından alınan bilgi, belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde;

  • Yazılım şirketlerinin sunduğu bulut tabanlı SaaS hizmetinin gereği olarak veri tabanını ve yazılımın yönetimini bünyesinde barındırması; müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için kendi bünyesinde ‘admin’ yetkisine sahip kullanıcılar ataması; yazılım bakımı ve geliştirmesi için aylık olarak düzenli bir ücret alması ve sözleşmelerini belirli periyodlarla yenilemesi; söz konusu yazılımın telif haklarının bu Şirketlere ait olması ve kullanıcılarına lisans vererek ilgili programı kiralaması; sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmaması, yazılım şirketlerinin müşteri olan araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmemesi, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olması, müşterinin sistemin düzgün işlemesi için gerekli fonksiyonları değiştirme yetkisinin ise bulunmaması ve elde edilen bulgulara göre şirketlerin uygulama içinde “kara kutu” bölümü oluşturarak araç kiralama firmalarınca girilen ilgili kişiler hakkındaki bu değerlendirmeleri uygulamalar vasıtasıyla diğer tüm kullanıcılara açılabilmesi; yazılım şirketleri her ne kadar araç kiralama firmalarıyla yaptığı sözleşmelerde olası kara liste uygulamaları için sorumsuzluk kaydı koymuşsa da, araç kiralama firmalarının uygulamaya girerek kaydettiği verileri, Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın kendi ticari faaliyetleri kapsamında kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağına karar vermesi hallerinde 6698 sayılı Kanunun 3’üncü maddesi gereğince yazılım şirketlerinin veri sorumlusu olarak hareket edeceği kanaatine varılmıştır. Araç kiralama firmalarının ise belirtilen veriler üzerinde sorumlulukları yazılım şirketi ile elbirliği halinde devam edecektir.
  • Kanunun 12’nci maddesi gereğince veri sorumlusu olarak hareket eden yazılım şirketlerinin müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen verilere hukuka aykırı olarak erişilmesini önlemek; bu verilerin muhafazasını sağlamak yükümlülüklerine aykırı hareket ederek söz konusu verileri diğer müşterilerinin de erişimine açmış olacağı; aktarımın direkt veri sorumlusundan diğer araç kiralama firmalarına değil öncelikli olarak yazılıma yapıldığı; bu durumun da paylaşıma açılan verilerin hangi firmalarca görülebileceğinin bilinememesine yol açacağı; veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapma imkanı bulunmamasına rağmen yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya açarak Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin 2’nci fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği kanaatine varılmıştır.

Bu kapsamda;

  • Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği, hem de Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin (2) numaralı  fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği dikkate alındığında, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine, 
  • Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına

karar verilmiştir.

16.12.2021: “Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi ”
Karar Tarihi : 16/12/2021
Karar No : 2021/1262
Konu Özeti : Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği, ilgili kişinin konuya ilişkin olarak veri sorumlusundan vekili aracılığıyla bilgi talebinde bulunduğu, ayrıca kişisel verilerinin silinmesi veya yok edilmesinin talep edildiği ancak başvurusunun yanıtsız bırakıldığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • İlgili kişinin yazılı başvurusunun öncelikle usulü açıdan değerlendirildiği, ilgili kişinin kendilerine başvurusunda, dilekçe ekinde yer alan vekâletnamenin dava aşamasındaki yetkileri içeren “genel vekâletname” niteliğinde olduğu, vekaleten istenen bilgilerin kişiye sıkı sıkıya bağlı hak olarak değerlendirilen kişisel verilerin işlenmesine yönelik olduğundan ve kişisel veri ve daha hassas bir koruma gerektiren özel nitelikli kişisel verileri de içerebilme ihtimali bulunduğundan ilgili kişi adına bilgi talep eden ve Kişisel Verilerin Korunması Kanunun 11 inci maddesi kapsamındaki hakları ilgili kişi adına kullanan vekilin, bu hakları kullanabilmek için özel yetki içeren vekalete sahip olması gerektiğinin değerlendirildiği, 
  • Açık bir şekilde özel vekaletname ile başvuru yapılabileceğinin “Başvuru Formu”nda yazılı olarak belirtilmesine rağmen, taraflarına usulüne uygun bir başvuru yapılmadığı; veri sorumlusuna başvuru yolunun tüketilmeden Kurula şikayette bulunulamayacağı bu nedenle Kanunun 14 üncü maddesi gereği ilgili kişinin şikayetinin reddedilmesi gerektiği, 
  • Taraflarının sigortacılık faaliyetlerini yürütmekte ve bu amaçla çeşitli sigorta acenteleri ile işbirliği yapmakta olduğu, şirketlerinde ilgili kişiye ait, acenteleri sıfatıyla ….Bankası aracılığı ile yapılmış sigorta poliçelerinin olduğu ve söz konusu banka bilgilerinin poliçelerle bağlantılı olarak acenteleri … Bankası tarafından sağlandığının tespit edildiği,
  • Taraflarına iletilen banka bilgilerinin; hesap tipi, banka kodu, hesap türü, şube kodu, döviz bilgisi, hesap numarası, kullanım amacı, IBAN numarası bilgileri olduğu; anılan verilerin işlenme amacının poliçe prim tahsilatının yapılabilmesi ve poliçeden doğan yükümlülüklerinin yerine getirilmesi olduğu,
  • Şikâyete konu bilgi paylaşımının acenteleri sıfatıyla … Bankası tarafından ilgili kişi için tanzim edilen poliçelere istinaden gerçekleştirildiği, bu doğrultuda satışını gerçekleştirdikleri poliçelere ilişkin hasarın tespiti ve tanzim edilmesinin hukuki bir zorunluluk olduğu, 
  • Şikayete konu olayda, ilgili kişiye ait kasko poliçesi kapsamındaki hasar talepleri için Tüketici Hakem Heyetine başvurulduğu, verilen kararda ilgili kişiye ödeme yapılmasına hükmedildiği, poliçeden doğan kesinleşmiş yargı kararı ile sabit hasarı tazmin etme yükümlülüğünün yerine getirilmesi amacıyla Kişisel Verilerin Korunması Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanılarak Şirket kayıtlarında bulunan banka hesabına ödeme yapılması suretiyle ilgili kişinin banka bilgilerinin işlendiği,
  • Yapılan araştırmada, ilgili kişinin şikâyete konu bilgilerinin yurt içi ve yurt dışındaki herhangi bir kişi ya da kurumla paylaşılmadığının tespit edildiği, söz konusu verilerin yalnızca Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla, ilgili Banka nezdindeki sigorta şirketi hesaplarından şikâyete konu banka hesap numarasına ödeme işlemlerinin tamamlanması amacıyla işlendiği,
  • Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarih ve 2021/1262 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, bu çerçevede şikâyete konu olayda sigorta şirketinin veri sorumlusu olduğu, Bankanın sigorta acentesi olarak ilgili kişi ve veri sorumlusu arasında sözleşme ilişkisinin kurulmasında veri sorumlusu adına hareket ederek veri sorumlusuna veri işleyen olarak hizmet sunduğu, 
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlığını taşıyan 5’inci maddesinin birinci fıkrasında “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmü ifade edilerek başvuruda bulunması zorunlu unsurlar; ad, soyad, başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusu olarak ayrıca sayıldığı,
  • Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. (4) Cevap yazısının; a) Veri sorumlusu veya temsilcisine ait bilgileri, b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, c) Talep konusunu, ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını, içermesi zorunludur. (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir. (6) İlgili kişinin talebinin kabul edilmesi halinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.” hükmünü haiz olduğu,
  • Somut olayda, ilgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekâletname bulunmaması sebebiyle cevaplanmamasına karşılık, kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği,
  • Ayrıca Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin ikinci fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” Hükmüne karşılık veri sorumlusunun ret gerekçesini ilgili kişiye bildirmediği anlaşıldığından veri sorumlusunun Tebliğ’e aykırı hareket ettiği,
  • Öte yandan Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • İlgili kişinin veri sorumlusundan sigortalı olduğu, poliçeden doğan ve Tüketici Hakem Heyeti kararı ile kesinleşen tazminatın ilgili kişiye ödenebilmesi amacıyla veri sorumlusunun Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak ilgili kişinin banka bilgilerini işlediği ve somut olayın hukuka aykırılık teşkil etmediği,
  • Diğer taraftan veri sorumlusu ile ilgili kişi arasındaki sigorta sözleşmesinin/ilişkisinin sona erdiğini gösterir herhangi bir belgenin Kuruma sunulmadığı hususları ile veri sorumlusunun hasar dosyası kayıtlarında Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği beyanı dikkate alındığında Kanun’un 7’nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı 

değerlendirmelerinden hareketle; 

  • Veri sorumlusunun yasal temsilci vekâletnamelerinde “özel yetki” aramaması hususunda uyarılması, vekâletnamelerde “özel yetki” bulunması gerektiğine dair veri sorumlusu tarafından tanzim edilen ilgili kişi başvuru formu, aydınlatma metni ve kişisel verilerin korunması ile alakalı diğer dokümanlardan bu ibarenin kaldırılarak Kurula bilgi verilmesi ile Tebliğ’in 6’ncı maddesi uyarınca başvuruların gerekçesi açıklanarak reddedilmesi hususlarında veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun, ilgili kişinin kişisel verileri niteliğindeki banka bilgilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak işlediği değerlendirildiğinden şikâyete ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına,  
  • Kişisel verilerin silinmesi veya yok edilmesi talebinin yerine getirilmediği iddiası bakımından, ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin/ilişkisinin devam ettiği, veri sorumlusunun yasal yükümlülüğü gereği ilgili kişinin kişisel verilerini muhafaza etmesi gerektiği dikkate alındığında Kanun’un 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmaması sebebiyle konu hakkında Kurul tarafından tesis edilecek bir işlem bulunmadığına

karar verilmiştir.

16.12.2021: “İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 16/12/2021
Karar No : 2021/1258
Konu Özeti : İlgili kişinin kişisel verilerinin iş akdi sona erdiği şirket tarafından hukuka aykırı olarak işlenmesi

 

İlgili kişinin, Kuruma intikal eden şikayetinde özetle veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • İlgili kişinin, şirkette “e-ticaret pazar yerleri yetkilisi” olarak işe başladığı ve daha sonrasında istifa ettiği, istifa süreci yaşanırken ilgili kişinin şirket ile rakip alanda faaliyet gösteren bir firmada çalışmak üzere istifa ettiği bilgisinin şirket tarafından öğrenildiği, bu nedenle ilgili kişiye keşide edilen 07.01.2020 tarihli ihtarname ile “muhatabın iş sözleşmesinin 7.7. maddesi uyarınca 3 yıllık çalışma süresi dolmayan çalışanın, ‘….’ eğitimi nedeniyle ödenen eğitim ücretinin iadesi ve ayrıca iş sözleşmesinin 8. maddesinde düzenlenen rekabet yasağına aykırı davranışları nedeniyle sözleşme maddesi uyarınca son aylık brüt ücretinin 12 katı tazminat ödemesi gerektiği, aksi takdirde yasal yollara başvurulacağının…” bildirildiği, 
  • İlgili kişi tarafından söz konusu ihtarnameye cevaben gönderilen 23.01.2020 tarihli ihtarname ile rekabet yasağı ihlali iddialarının kabul edilmediği, eğitim giderinden işçinin sorumlu tutulamayacağının bildirildiği, Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetinde Şirkete toplam 8 soru yöneltildiği, 
  • Şirket tarafından ilgili kişinin Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetindeki sorularına cevap verildiği, söz konusu cevapta Şirket tarafından tüm çalışanlara ilişkin kişisel bilgilerin 6698 sayılı Kanun’daki önlemlere göre muhafaza edilmekte ve Kanun’dan doğan tüm yükümlülüklerin Şirket tarafından yerine getirilmekte olduğunun belirtildiği, 
  • Şikâyet dilekçesinde ileri sürülen “kişisel verilere yönelik başvuru yapılmak istendiğinde bir başvuru formunun olmadığı, başvuru yollarının bildirilmediği, aydınlatma yükümlülüğünün yerine getirilmediği” iddialarının tümünün gerçek dışı olduğu, ilgili kişinin imzaladığı iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesindeki ifadelerden Şirketin aydınlatma yükümlülüğünü yerine getirdiğinin görüleceği, 
  • Ayrıca, Şirket’in yalnızca kendi çalışanları için kurmuş olduğu sosyal bir ağ olan “…” adresinden de aydınlatma metninin yayınlanmış olduğu ve bu aydınlatma metninde kişisel verilere yönelik başvurunun nasıl yapılacağı ve başvuru yolları konusunda ayrıntılı bilginin yer aldığı, 
  • Parmak izi ve yüz tarama sisteminin Şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığı, ilgili kişiden de parmak izinin bu kapsamda alındığı, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ve Kanun doğrultusunda amaçla uygun ve sınırlı ölçüde kullanılmakta olduğu, bunlar haricinde ilgili kişiye ait Şirket tarafından işlenmiş olan bir özel nitelikli kişisel veri bulunmadığı, 
  • İlgili kişinin yurt dışına aktarılan bir kişisel verisinin bulunmadığı, 
  • Şikâyet dilekçesinde ileri sürülen kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı ve veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığı iddialarının kabulünün mümkün olmadığı, veri sorumlusunun hem çalışanlarının hem müşterilerinin kişisel verilerinin korunmasını sağlamak için gerekli tüm teknik ve idari güvenlik tedbirlerini almış olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, 

Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin
a) Hukuka ve dürüstlük kurallarına uygun olma, 
b) Doğru ve gerektiğinde güncel olma, 
c) Belirli, açık ve meşru amaçlar için işlenme, 
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Somut olayda, veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığı, 
  • Savunma dilekçesi ekinde yer alan ve ilgili kişiyle imzalanmış olan iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesiyle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olduğunun iddia edildiği, ilgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen 9’uncu maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı, bu nedenle, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği, 
  • Veri sorumlusu tarafından 2020 yılı Temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı, 
  • Özel nitelikli kişisel veri işlemenin açık rıza veri işleme şartına dayandırıldığı ancak “Açık rıza” kavramının Kanun’un 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin; veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanmasının önem teşkil ettiği, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Şikayete konu olayda ise ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu, 
  • Öte yandan, Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinin (ç) bendinde belirtilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği de işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği anlamına geldiği, ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmasının önem arz ettiği,
  • Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
  • Öte yandan, ilgili kişinin veri sorumlusu şirketin yurt dışında yer alan şubesine gittiği süreçte kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığını iddia ettiği, veri sorumlusunun ise savunma dilekçesinde ilgili kişinin herhangi bir kişisel verisinin yurt dışına aktarılmadığını belirttiği, ancak şikâyet dilekçesinde aktarım faaliyetine ilişkin somut bilgi ve belgelere yer verilmemiş olduğu ve bu nedenle bu iddialar bakımından Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının da belirtildiği, veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına, 
  • Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 

karar verilmiştir.

10.03.2022: “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi”
Karar Tarihi : 10/03/2022
Karar No : 2022/229
Konu Özeti : E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • Veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu,
  • Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği,  
  • Çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına dayanılarak da işleme faaliyetinin gerçekleştirilmediği,
  • İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde yer aldığı üzere yurt dışına aktarıldığı ve bu kapsamda ilgili kişinin açık rızasının alınmadığı,
  • Kanun’un 11’inci maddesi uyarınca sahip olunan tüm haklar kapsamında veri sorumlusundan bilgi talebinde bulunulduğu; ancak veri sorumlusunun cevabında yalnızca çerez kullanımlarına ilişkin bilgi verildiği, 
  • Ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı,
  • Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, gerek platform gerek mobil uygulama üzerindeki üye müşteri deneyiminin iyileştirilmesi olarak sunulan veri işleme amacı için  “hedefleme bilgilerinin” veya “beğenileri” gösteren değerlendirmelerin davranışsal reklamcılık çerezi işlevi kazandığı ve işlenmesine gerek olmadığı hâlde işlendiği, “üye müşterinin açık rızası doğrultusunda yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, 
  • Ziyaretçi için hedeflemeli çerezler aktifken hedeflemeli reklamcılık yapılmadığının belirtilmesinin doğru olmadığı, çevrim içi ziyaretçinin IP adresinin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sebebiyle işlendiği ve bunun politikada belirtildiği; ancak kişisel veri olan IP adresinin işlenmesi sırasında hedeflemeli reklamcılık çerezlerinin site üzerinde aktif hâlde bulunmasının hedefleme yapılmamasını imkânsız kıldığı, 
  • İnternet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı, çerezlerin ve üçüncü taraf çerezlerin özelliklerine tam ve doğru bir şekilde yer verilmediği, veri saklama sürelerinin sınırlı sayıda çerez için belirtildiği, bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması ile bazı bilgilerin iki platform arasında paylaşılarak kullanıldığı,
  • İşlevde olan çerezlerin ve işlenen kişisel verilerin sadece bir kısmı gösterilerek tam bilgi sunulmamasının çerezler konusundaki aydınlatma yükümlülüğünün yerine getirilmediğinin kanıtı olduğu,
  • Ayrıca, tarayıcı veya mobilde çerezleri devre dışı bırakmanın bir önlem olarak sunulduğu, tarayıcıda çerezlerin devre dışı bırakılmasının kişinin tarayıcı deneyimini tamamen katlanılamaz hâle getirdiği, kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını engellemediği her hâlde kişisel verilerin işlenmiş olacağı,
  • Üçüncü taraf analitik çerezlerin her zaman meşru sayılamayacağı, bu çerezlerin kullanıcı deneyimine yarar sağlamadığı, internet sitesinde 14 adet analitik çerez kullanılmak suretiyle yurt dışına kişisel veri aktarılmasının Kanun’a uygun şekilde gerçekleştirilmediği, veri sorumlusunun cevabında Avrupa Birliği müktesebatında bu tür çerezlerin kullanılmasına ilişkin olarak e-Gizlilik Regülasyonunun henüz taslak aşamasında olduğunun vurgulandığı, ancak regülasyon olarak taslağı hazırlanan 2002/58 sayılı e-Gizlilik Direktifinin, 2009/136 sayılı Direktif düzenlemesi olarak güncel hâlde yürürlükte olduğu, davranışsal reklamcılık ve analitik çerezlerin uygulanmasında 2002/58 sayılı Direktifin 5’inci maddesinin (3) numaralı fıkrası ile kullanıcıya tanınması gereken “reddetme hakkı”nın, 2009/136 sayılı Direktifte tekrar düzenlendiği, hâlihazırda bu tür çerezlerin uygulanmasının, 95/46 sayılı Direktif’te tanımlandığı hâliyle “rıza”ya tabi olduğu, güncel durumun, bu rızanın artık Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) göre yorumlanması yönünde olduğu, 
  • Üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi tutulmadığının belirtildiği ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu

belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan konuya ilişkin savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler vasıtasıyla işlenen kişisel verilerinin “oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve ‘kesinlikle gerekli çerez’ statüsünde olmayan çerezler” şeklinde olduğu ve bunların Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında işlenmekte olduğu,
  • “Kesinlikle gerekli çerez” statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu hizmet sağlayıcısı sıfatıyla çevrim içi bedelli olarak kullanıcılara sunulan elektronik ticaret hizmetinin sunulabilmesi için kesinlikle gerekli çerezler olduğu,
  • “Kesinlikle gerekli çerezler” ve bilgi toplumu hizmetinin sunulması noktasında, kendilerinin bir bilgi toplumu hizmet sağlayıcısı olduğu ve bu kapsamda kullandıkları bazı çerezlerin hizmetin sunumu açısından “kesinlikle gerekli çerezler” olduğu ve bunlar bakımından web sitesi veya mobil uygulama kullanıcılarından açık rıza alınmasının gerekli olmadığı ve bilgi toplumu hizmet sağlayıcısı olarak meşru menfaatlerine istinaden kişisel verilerin işlenmekte olduğu, bu kapsamdaki çerezlere örnek olarak kullanıcı girişi, kimlik doğrulama, güvenlik, ağ yönetimi ve kullanıcı tercihlerini saklamak için kullanılan oturum çerezlerinin verilebileceği,
  • “Kesinlikle gerekli çerez” kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online reklamcılık çerezlerinin kullanıldığı, bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde pop-up şeklinde bir aydınlatma metni çıktığı, kullanıcıların internet sitesindeki Gizlilik ve Çerez Politikalarına yönlendirildiği, Çerez Politikasında da çerezlerin nasıl kullanıldığı, birinci ve üçüncü taraf çerez ayrımı ve işlevleri, üçüncü taraf çerezlerin reklam ve hedefleme amacıyla nasıl kullanıldığı, çerez sağlayıcı, çerez adı, çerez çeşidi, çerez amacı, çerez süresi ve detaylı olarak çerez yönetiminin nasıl yapılacağına ilişkin olarak kullanıcıya bilgi verildiği,
  • Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının AB’de “çerez duvarları” (cookie walls) veya “takip duvarları” (tracking walls) olarak adlandırılan uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına bağlanmadığı, bilakis ana sayfayı ziyaret eden kullanıcılara çerezlere ilişkin bilgilendirme yapıldığı ve çerezleri kabul etmeleri kaydıyla hizmeti kullanmalarının istenmediği,
  • Çerez uygulamalarının GDPR’nin yürürlüğe girdiği tarihe kadar Avrupa’da kabul edilen bir uygulama olduğu, aynı uygulamanın Türkiye’de yerleşik birçok şirket tarafından benimsenmekte ve kullanılmakta olduğu, GDPR’nin yürürlüğe girmesi ile birlikte 2002/58 sayılı e-Privacy Direktifi ile düzenlenen “kesinlikle gerekli çerezler” dışında kalan izleme ve online reklamcılık çerezlerine ilişkin olarak kullanıcıdan rıza alınması şartı getirildiği, uygulamada özellikle AB menşeli veya çok uluslu şirketler tarafından GDPR uyumu doğrultusunda, çerezler için açık rıza alınması ve açık rıza yönetimi sağlayacak şekilde internet siteleri tasarlanmışken birçok şirketin çerez kullanımına ilişkin olarak hâlâ GDPR öncesi uygulamaya devam etmekte olduğu, bu duruma netlik kazandırmak için Kişisel Verileri Koruma Kurulu tarafından da veri sorumlularına yardımcı olarak nitelikte bir rehber yayınlanmasının elzem olduğu, ilgili kişi tarafından yapılan şikâyetten bağımsız olarak, çerez kullanımına ilişkin olarak açık rıza alınması hususunda ve rıza yönetimini sağlayacak teknik çözüm sunan firmalarla görüşmelerin başladığı, ticari anlaşmalar yapıldığında ise çerezler için açık rıza ve kullanıcı tercih yönetimi sağlayacak şekilde sayfalarının çalıştığına ilişkin bilgilerin Kurula sunulacağı, 
  • Çerezlerin yalnızca e-ticaret siteleri tarafından değil, tüm internet ekosisteminde kullanılmakta olduğu ve günümüz dünyasında çerez kullanımının internet deneyimi açısından temel standart hâline gelmiş bir uygulama olduğu, dolayısıyla özellikle de e-ticaret platformlarının çerez kullanmaksızın temel işlevlerini yerine getiremeyecekleri ve kullanıcılarına kaliteli bir hizmet sunamayacakları, çerezler sayesinde yerine getirilen işlevleri başka bir araçla ikame etmenin mümkün olmadığı ve bir e-ticaret platformu için çerez kullanımının zorunlu olduğu, 
  • Çerez kullanımında meşru menfaatlerinin bulunduğuna kuşku olmadığı, zira çerez kullanımının müşteri deneyiminin iyileştirilmesi, müşteri tercih ve beğenileri odaklı hizmet sunulması ve müşteri istekleri doğrultusunda ürün ve hizmet optimizasyonu yapılabilmesi gibi karar destek sistemlerini besleyen temel gerekliliklerden biri olduğu ve aksi bir durumun, kullanıcı deneyimini ve kendi faaliyetlerini derinden zedeleyeceği, Şirketlerini sektörel rekabetin dışına iteceği,
  •  Veri işleme sonucu elde edilen menfaatin ilgili kişilerin temel hak ve özgürlükleriyle yarışabilir düzeyde ve orantılı olduğu, çerezlerin kullanılmasının özünün kullanıcı deneyimini iyileştirmek ve ilgili internet sitesini kullanıcısının en işine yarayacak ve en kolay şekilde kullanılmasını sağlamak olduğu, bu kapsamda çerezler vasıtasıyla kullanıcıların ilgi alanları ve istekleri göz önüne alınarak onlara özel bir deneyim sunulmasının amaçlandığı,
  • Çerezler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin meşru menfaat denge testini sağladığı görüşünde olunduğu; çerez ve benzeri teknolojilerin kullanımına ilişkin AB’nin GDPR ve e-Privacy Direktifi uygulamalarına paralel olarak “kesinlikle gerekli olmayan çerezler” için kullanıcının açık rızasının alınması ve rıza yönetimi süreçlerinin tasarlanmaya başlandığı, 
  • Ad-soyadı, iletişim bilgileri (telefon numarası, adres ve e-posta adresi) ve T.C. kimlik numarasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiği ve söz konusu kişisel verilerin yine aynı kapsamda satıcı ve kargo şirketi ile paylaşıldığı,
  • Sunulan Gizlilik Politikası ile Çerez Politikasının birbirini tamamlayıcı nitelikte olduğu ve çerezlerin kullanımı kapsamında işlenen verilere ilişkin olarak detaylı açıklamaları barındırdığı, ilgili kişinin aydınlatmada bulunmadığını iddia ettiği hususların Gizlilik Politikasında mevcut olduğu, ek olarak, ilgili politikalarda Kanun’un 10’uncu maddesinde bulunan her türlü içeriğin yer aldığı
  • İnternet sitelerinde ve mobil uygulamalarında “tracking wall” uygulamasının olmadığı ve çerezlerin Çerez Politikasında belirtilen şekilde kullanım dışı bırakılması durumunda da internet sitesinin işlediği ve etkin şekilde ziyaret edilmesinin mümkün olduğu,
  • Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğu, bu aktarıma ilişkin olarak gerek internet sitesinde bulunan politikalarında gerekse de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydında bilgilendirmenin yer aldığı ve ilgili kişilerin Kanun’un 10’uncu maddesi kapsamında bilgilendirildiği, 
  • Çerezlerin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in kapsamının dışında yer aldığı ve söz konusu Yönetmelik hükümlerinin çerezler bakımından uygulama alanı bulmadığı, bu sebeple de çerez uygulamaları için ticari elektronik ileti onayı alınması gerekmediği

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Kararı ile;

  • Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
  • “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
  • “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, 
  • Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,  
  • Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği, 
  • Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı, 
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı,
  • Bununla birlikte, çerez politikası içerisinde bulunan Çerez Yönetimi başlığı altında internet tarayıcısının çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini teminen yönlendirmelerin yapıldığının görüldüğü, 
  • Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı,
  • Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
  • Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi gerektiği,
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, 
  • Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği,
  • Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası oluşturduğu, ilgili kişilerin de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından bu metne yönlendirildiği dikkate alındığında veri sorumlusunun Gizlilik Politikasında çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği, ayrıca söz konusu metnin aydınlatma yükümlülüğünün düzenlendiği Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (Tebliğ) uygun olması gerektiği, 
  • Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı, 
  • Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (ğ) bendi kapsamında değerlendirildiğinde, çerezlerin niteliği itibariyle teknik bir konu olduğundan hareketle veri sorumlusunun Çerez Politikasında anlaşılır, açık ve sade bir dil kullandığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği

değerlendirmelerinden hareketle; 

  • Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,

Ayrıca,

  • Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması,
  • Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi,
  • Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi,
  • Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması

hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

  • Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu tarafından yerine getirildiğine

karar verilmiştir. 

09.12.2021: “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi”
Karar Tarihi : 09/12/2021
Karar No : 2021/1243
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı, kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun her nevi konferans, anket, tanıtım, reklam, konser organizasyonları düzenlemek ve bu işler için eleman sağlamak, bu organizasyonlar için ara teknik donanım kiralamak, bu işleri başkalarına yaptırmak, benzin istasyonu işletmesi ve çalışan temini, AVM işletmelerine çalışan temin etmek, hastane vb. sağlık kurumlarına çalışan temin etmek, inşaat vb. işletmelere çalışan temin etmek, lojistik sektörüne çalışan temin etmek, gemi işletmelerine çalışan temini hizmetleri vermek ve diğer her türlü sektörde ihtiyaç duyulan elemanları temin etmek, reklam, gösteri, kongre, konferans, ticari fuar, anket çalışmaları, pazarlama faaliyetlerine eleman tedarik etmek ve benzeri nitelikteki etkinliklerin organizasyon faaliyetlerini yürüttüğü,
  • İlgili kişiye ait e-posta adresinin veri sorumlusunca yürütülen ekonomik faaliyetler (anket ve tanıtım işleri) kapsamında edinildiği,
  • Söz konusu e-posta adresinin 6698 sayılı Kişisel Verilerin Korunması Kanunun’un (Kanun) 5’inci maddesinin (d) bendi kapsamında "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şartına dayanarak işlendiği,
  • Kişisel verilerin işlenmesinde Kanun kapsamında hareket edildiği, ilgili kişiye ilişkin hiçbir bilgi ve belge paylaşımının yapılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/12/2021 tarih ve 2021/1243 sayılı kararı ile;

  • Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde;

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
” 
hükmüne yer verildiği,

  • Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
  • Bu anlamda veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu,
  • Diğer taraftan Kanun’n “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7’nci maddesine göre kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkının düzenlendiği,
  • Kanun’un 7’nci maddesinin (3) numaralı fıkrasına dayanılarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesinin “Kanunun 5 inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.” ve aynı maddenin (2) numaralı fıkrasının “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” hükmünü haiz olduğu,
  • Bu kapsamda ilgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

09.12.2021: “Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması”
Karar Tarihi : 09/12/2021
Karar No : 2021/1239
Konu Özeti : Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kuruma intikal eden şikâyette özetle; 

  • Banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, 
  • Veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin de ortağı olduğu Şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, ilgili kişinin aranan numaranın ailesinin kullanımında olduğunu müteaddit kez belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu, 
  • Bu ihlal dolayısı ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 14 üncü maddesinin (2) numaralı fıkrası gereğince veri sorumlusuna başvuru yapıldığı, Banka tarafından vekaletnamede Kanun kapsamında talepte bulunma yetkisinin olmadığı gerekçesiyle vekile bilgi verilmeyeceği, cevapların şikayetçi müvekkile tebliğ edileceğinin beyan edildiği, sonrasında cevabın hazır olduğu 10 gün içerisinde tebliğ edileceğinin şikayetçiye bildirildiği ancak herhangi bir tebligat yapılmadığı, bunun üzerine tekrar Kanun kapsamında talepte bulunmaya ilişkin yetki içerir vekaletname ile yeni bir başvuru yapıldığı, bu başvurunun da reddedildiğinin öğrenilmesi üzerine Kuruma başvuru zorunluluğunun hasıl olduğu

belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Banka nezdinde bireysel müşteri kaydı bulunduğu, bunun yanı sıra ilgili kişinin hakim ortağı olduğu (…) Anonim Şirketi’nin de Bankada ticari müşteri kaydının yer aldığı, (…) Anonim Şirketi için kredi teklifi yapılabilmesi amacıyla şirkete ticari müşteri kaydı oluşturulurken alınan kredi başvuru formunda, anılan şirketin hakim ortağı ve aynı zamanda yönetim kurulu başkanı olması nedeniyle ilgili kişiye ait bazı bilgilerin de alındığı, kredi başvuru süreçleri aşamasında şirkete limit çalışması ve ticari kart başvurusu yapılması kapsamında ilgili kişinin de hakim ortak olarak Risk Merkezi bilgisinin sorgulandığı, Risk Merkezi'nden alınan ev telefonu numarasının Banka veri tabanına kaydedildiği, ilgili kişinin bireysel müşteri kayıtlarının içerisinde e-posta adresinin yer almaması nedeni ile cevabî yazının “resmi adres ve ev adresi” olarak kayıtlı olan adresine PTT aracılığıyla iadeli taahhütlü posta olarak gönderildiği,
  • 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ile alt düzenlemelerin belirlediği kapsamla sınırlı olacak şekilde ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, Banka müşterilerinin kredilendirme süreçlerinde kullanılmak üzere risk bilgilerini alabilmek amaçları ile Türkiye Bankalar Birliği Risk Merkezi’nden (Risk Merkezi) sorgulamalar yapılmakta olduğu, yapılan aramalarda müşteriye ulaşılamaması durumunda müşterilere ulaşabilmek amacıyla Risk Merkezi sorgulamasından elde edilen ve sistemlere “alternatif numara” olarak kaydedilmiş olan iletişim numaralarının da aranabildiği, bununla birlikte söz konusu alternatif numaraların aranması ve bu aramalara müşteri dışında üçüncü kişilerin yanıt vermesi durumunda üçüncü kişilerle hiçbir şekilde bilgi paylaşımı yapılmayıp, kendisine ulaşmak istenilen müşterilerin Bankayı geri araması hususunda not bırakıldığı,
  • İlgili kişinin hakim ortağı ve yönetim kurulu başkanı olduğu (…) Anonim Şirketi’nin Banka nezdinde kullandığı kredilerde gecikme oluşması nedeniyle, bu müşteri için yapılan aramaların başlamış olduğu, ilgili kişinin Banka sisteminde kayıtlı olan cep telefonu üzerinden muhtelif tarihlerde defalarca yapılan aramalara rağmen kendisi ile temas kurulamadığı, kendisinin Risk Merkezi nezdinde ev telefonu numarası olarak kayıtlı olan telefon numarasından çeşitli tarihlerde arama yapılarak görüşme sağlandığı, bu tarihlerde yapılan hiçbir aramada ilgili kişiye ya da kendisinin hakim ortağı ve yönetim kurulu başkanı olduğu şirkete ilişkin olarak üçüncü kişilere herhangi bir bilgi paylaşımı yapılmadığı, bu aramalarda ilgili kişiye iletilmesi için üçüncü kişilere sadece not bırakıldığı, ilgili kişinin yakınının bırakılan notu kendisine ileteceğini ifade ettiği ve Banka tarafından bu hususla ilgili olarak aranmak istemediklerine ilişkin bir talep iletmedikleri,
  • İlgili kişinin Bankayı araması ile yapılan görüşmede, aranan numarayı Bankaya vermediği ve ailesinin nasıl arandığını sorması üzerine, müşteri temsilcisi tarafından kendisine ulaşım sağlanamadığı zaman sistem tarafından otomatik olarak alternatif numaradan arama yapıldığı, Banka şubelerinden konuya ilişkin bilgi alınabileceği ve bununla ilgili olarak aranmak istemediği numaraları Banka kayıtlarından sildirebileceğinin belirtildiği, ilgili kişinin talebi üzerine kendisi ile görüşmeyi gerçekleştirmiş olan müşteri temsilcisinin söz konusu telefon numarasını, sistem üzerinde bu numaranın bir daha aranmamasını sağlayıcı aksiyon olarak “yanlış numara” şeklinde belirtmesi gerektiği halde, bu şekilde işlem yapmaması nedeni ile şikayet konusu telefon numarasına yapılan aramaların devam ettiği, ilgili personelin konu hakkında uyarıldığı, sonraki bir tarihte ilgili kişinin yakınının bu telefon numarasından aranmak istemediğini belirtmesi üzerine telefon numarasının arama engelli listesine eklendiği,
  • Şikâyete konu alternatif telefon bilgisinin, Risk Merkezi’nden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı

belirtilmiş ve risk merkezi üzerinden yapılan sorgulama sonuçlarında şikâyete konu telefon numarasının “ev telefon numarası” olarak görünen şekilde Banka sistemine yansımasına ilişkin ekran görüntüsü paylaşılmıştır.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, 6111 sayılı Kanun ile, 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci maddenin ilave edildiği, ek 1 inci madde ile Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulduğu, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyelerin, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca; “(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz. (2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır” hükmünün düzenlendiği, bu doğrultuda, Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanun’un 159’uncu maddesinde öngörülen yaptırımların uygulanacağının belirtildiği,
  • Öte yandan, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usullerin düzenlendiği, Risk Merkezi’ndeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususlarının da ayrı bir yönetmelik kapsamında düzenlendiği,
  • İlgili kişinin hakim ortak olduğu (…) Anonim Şirketi ile veri sorumlusu arasında kredi sözleşmesi olduğu, veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Bankacılık Düzenleme ve Denetleme Kurulu’nun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli kararı doğrultusunda gerçekleştirildiği, ilgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli  tarihlerde veri sorumlusunca yetkilendirilmiş kişilerce arama yapıldığı,
  • İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca ilgili mevzuattan bahsedilip bahis konusu telefon numarası ile ilgili gerekli aksiyonun alındığını da kapsayan özür ifadesinin yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği,
  • Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1218
Konu Özeti : İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi

İlgili kişinin şikâyetinde özetle;

  • Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin eylemli fesih yoluyla sona erdirildiği, 
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun, “iş sözleşmesinin devamı” ve “iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesi” olmak üzere iki farklı dönemde, ilgili kişiye karşı 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) kaynaklanan yükümlülüklerini yerine getirmediği,
  • İlgili kişi tarafından Kanun’un 13’üncü maddesine dayanılarak hazırlanan ve e-posta üzerinden veri sorumlusunun İstanbul İrtibat Bürosu’na yöneltilen 26/05/2021 tarihli İhtarname’ye cevaben iletilen 07/06/2021 tarihli e-postada açık ve doğru bilgi verilmediği,
  • İlgili kişiye verilen cevapta “Halen istihdam altında bulunduğunuzdan, çalışanın iş ilişkisinin karşılıklı ifası için gerekli kişisel verilerin işlenmesi KVKK m. 5/2 kapsamında ‘…c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.’ şeklindeki madde kapsamına girdiğinden, ayrıca aynı maddenin (e) ve (f) bentleri gereğince, iş akdinizin ifası çerçevesinde gerekli kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir. Dolayısıyla, ilgili yasal mevzuata uygun olarak ücretsiz izne çıkarıldığınızdan ve halen çalışan statüsünde olduğunuzdan, Kişisel Verilerin Korunması Kanunu kapsamında hiçbir hukuka aykırılık da söz konusu olmadığından talebiniz kabul edilememektedir.” ifadelerine yer verildiği,
  • İlgili kişiye iletilen metnin geçerli bir cevap olmadığı, zira ilgili kişi tarafından yöneltilen soruların geçiştirildiği, kaldı ki istihdam ilişkisinin devamının işverenin Kanun’dan kaynaklanan yükümlülüklerini yerine getirdiğine karine teşkil etmeyeceği ve çalışanın işverene karşı Kanun’dan doğan haklarını kullanmasının istihdam ilişkisinin sona ermesine bağlı olmadığı,
  • İşverenlerin Kanun kapsamında çalışanların özlük dosyalarının düzenlenmesi bakımından “veri sorumlusu” sıfatını haiz oldukları, bu sıfatla da Kanun’un 10’uncu maddesi uyarınca “veri sorumlusunun ve varsa temsilcisinin kimliği”, “çalışanın kişisel verilerin hangi amaçla işleneceği”, “işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği”, “kişisel veri toplamanın yöntemi ve hukuki sebebi” ve “ilgili kişi çalışanın bu kapsamdaki hakları” hakkında yazılı bir aydınlatma metni düzenlemek ve çalışanı bilgilendirmekle yükümlü oldukları,
  • İlgili kişinin istihdam edildiği süreçte kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, Kanun kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmediği,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin hangi üçüncü kişilere aktarıldığı ve ilgili kişinin kişisel verilerinin yurtdışına aktarılıp aktarılmadığı konularında da ilgili kişiyi bilgilendirmediği, kişisel verileri yurt dışına aktarılıyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • İlgili kişinin özel nitelikli kişisel verilerinin işlenip işlenmediğinin de veri sorumlusunun İstanbul İrtibat Bürosu tarafından ilgili kişiye bildirilmediği, eğer özel nitelikli kişisel verileri işleniyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; “Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek Kanun’un 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği,
  • İlgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı,
  • Bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediği

hususları bildirilmiş olup, veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin taleplerini yerine getirerek belirtilen hususlarda açıklama yapmasının ve hukuka aykırılıkların giderilmesinin sağlanması ile veri sorumlusunun İstanbul İrtibat Bürosu’nun Kanun’un amir hükümlerine istinaden cezalandırılması talep edilmiştir.

Bu kapsamda, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve Kanun’un “Kapsam” başlıklı 2’nci maddesi uyarınca Kanun hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınmış ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir. Akabinde, başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Londra’da mukim olan veri sorumlusu bünyesinde çalışmaya başladığı ve 01/10/2020 tarihinde veri sorumlusunun İstanbul’da açılan irtibat ofisinde görevlendirildiği,
  • Kurulun “yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkındaki görüş talebi” hakkında verdiği 23/07/2019 tarihli ve 2019/225 sayılı karar ile yasal mevzuat göz önünde bulundurulduğunda, yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının veri sorumlusuna ait yükümlülüklerinin bulunmadığının ve veri sorumlusu olarak gerekli yükümlülüklerin yurtdışında yerleşik tüzel kişilik tarafından yerine getirilmesi gerektiğinin ortada olduğu,
  • Bu doğrultuda, veri sorumlusu tarafından ilgili kişiye veri sorumlusunun “Veri Koruma Politikası” çerçevesinde bilgilendirmede bulunulduğu, “İşçiler ve Taşeronlar için GDPR Gizlilik Bildirgesi” imzalatıldığı ve GDPR ile uygulanabilir tüm yasal mevzuat kapsamında gerekli her türlü yükümlülüğün yerine getirildiği, 
  • İlgili kişinin veri sorumlusu ile olan iş ilişkisinin devamı esnasında tüm dünyayı etkisi altına alan COVID-19 virüsünün ortaya çıktığı pandemi döneminde Türkiye Cumhuriyeti’nin yasal mevzuatının uygun gördüğü şekilde ücretsiz izne çıkarıldığı, bu yüzden ilgili kişinin iddia ettiğinin aksine ilgili kişi ile veri sorumlusu arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediği, buna dair hiçbir geçerli ve hukuki delilin de bulunmadığı,
  • İlgili kişinin iş sözleşmesinin 01/07/2021 tarihinde kendisine gönderilen Fesih Bildirimi ile sona erdirildiği, ilgili kişinin avukatı tarafından veri sorumlusuna gönderilen 01/07/2021 tarihli e-postada da iş ilişkisinin daha önceki bir tarihte sonlandırılmamış olduğunun ikrar edildiği,
  • İlgili kişinin veri sorumlusu ile aralarındaki iş sözleşmesinin eylemli fesih yoluyla sona erdirildiğini iddia etmesine rağmen 01/07/2021 tarihli Fesih Bildirimi’ni beklediği ve Fesih Bildirimi’nin kendisine tebliğinden hemen sonra başka bir firmanın internet sitesine fotoğrafının koyulduğu, bunun da ilgili kişinin veri sorumlusu ile arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediğinin farkında olduğunu gösterdiği, 
  • İlgili kişinin fesih eyleminin bir an önce gerçekleşmesi konusundaki ısrarının diğer firmanın internet sitesinde yer almak için sabırsızlanmasından kaynaklandığı, ilgili kişinin haksız ve hukuka aykırı taleplerinin veri sorumlusunca kabul edilmemesinden dolayı öç alma güdüsüyle inceleme konusu şikâyeti yaptığı, 
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
  • Bu çerçevede, veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca iş sözleşmesinin ifasına ilişkin kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince hukuka uygun olarak işlendiği,
  • İlgili kişinin iş sözleşmesinin sona erdirilmesinin akabinde, ilgili kişinin özlük dosyasında bulunan bilgilerin gelecekte veri sorumlusu aleyhine açılma ihtimali olan davalarda ispat kolaylığı sağlayacağından ötürü meşru menfaat çerçevesinde saklanmakta olduğu ve bu bilgilerin hiçbir üçüncü şahısla paylaşılmadığı, bunun dışında iş sözleşmesinin sona erdirilmesi ile ilgili kişiye ait diğer kişisel bilgilerin veri sorumlusu tarafından silindiği ve yok edildiği,
  • Netice olarak, veri sorumlusunun İngiltere sınırları içerisinde tabi olduğu GDPR ve uygulanabilir yasal mevzuat uyarınca ilgili kişinin kişisel verilerinin hukuka uygun işlendiği, ilgili kişi ile veri sorumlusu arasındaki iş ilişkisinin sona ermesinin ardından ilgili kişinin kişisel verilerinin mümkün olduğunca yok edildiği ve silindiği, ilgili kişinin şikâyet ettiği hususların haksız ve mesnetsiz olduğu, veri sorumlusunun tüm yükümlülüklerini yerine getirdiği 

ifade edilmiştir.

İlgili kişinin şikâyetinde yer alan iddialar ile veri sorumlusunun savunması birlikte incelenmiş olup, görülen lüzum üzerine “ilgili kişi ile veri sorumlusu arasındaki iş ilişkisin başladığı yer ve tarihi”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişinin hangi kişisel verilerinin işlendiği ve bu işleme faaliyetinin amacı/amaçları ve hukuki sebebi/sebepleri”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişiye yönelik yürütülen kişisel veri işleme faaliyetleri kapsamında, ilgili kişiye Kanun’un 10’uncu maddesi gereğince aydınlatma yapılıp yapılmadığı”, “ilgili kişinin veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılıp aktarılmadığı ve eğer aktarılmışsa aktarımın hukuki sebebi/sebepleri”, “ilgili kişinin kişisel verilerinin veri sorumlusuna ait kurumsal internet sitesinde yayınlanıp yayınlanmadığı ve eğer yayınlandıysa hangi kişisel verilerin hangi tarihler arasında, hangi hukuki sebebe/sebeplere dayanılarak yayınlandığı” hususlarının açıklığa kavuşturulması veri sorumlusundan istenmiştir.

Açıklığa kavuşturulması istenen hususlara dair veri sorumlusunca iletilen yazıda ise özetle;

  • Veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde, ilgili kişinin adının, soyadının, telefon numarasının, e-posta adresinin, adresinin ve özlük dosyasında bulunan bilgilerin Türkiye’de faaliyet gösteren binlerce işverenin milyonlarca çalışanına yaptığı gibi işlendiği, bu kişisel verilerin işlenme amacının veri sorumlusunun ilgili kişi ile olan istihdam ilişkisinin yürütülmesini sağlamak ve veri sorumlusunun işveren olarak yükümlülüklerini yerine getirmekten ibaret olduğu,
  • Veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında, ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince iş sözleşmesinin ifası çerçevesinde gerekli kişisel verilerin Kanun’a uygun olarak işlendiği,
  • İlgili kişinin İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin veri sorumlusu haricinde yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılmadığı,
  • İlgili kişinin adının, soyadının ve fotoğrafının veri sorumlusuna ait İngiltere’de bulunan merkez ofisin yönetimindeki kurumsal internet sitesinde iş ilişkisinin devamı süresince yayınlandığı, veri sorumlusunun İstanbul İrtibat Bürosu tarafından kullanılan herhangi bir internet sitesinin bulunmadığı, söz konusu bilgilerin iş akdinin feshi itibarıyla derhal internet sitesinden kaldırıldığı ve veri sorumlusu bünyesinden silindiği, ilgili kişiye veri sorumlusu tarafından imzalatılan onay formunun ekte sunulduğu

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1218 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde ise “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmüne yer verildiği,
  • Ek olarak, ilgili kişilerin hakları Kanun’un 11’inci maddesinin; 

“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; 
a) Kişisel veri işlenip işlenmediğini öğrenme, 
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.” denmek suretiyle düzenlendiği,

  •  Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adının ve soyadının, telefon numarasının, e-posta adresinin, adresinin, fotoğrafının ve özlük dosyasında bulunan bilgilerin ilgili kişinin kimliğini belirli veya belirlenebilir kılmaları nedeniyle kişisel veri niteliğini haiz oldukları, bu yüzden ilgili kişiye ait bahsi geçen kişisel verilerin veri sorumlusu tarafından elde edilmesi, depolanması, kullanılması, yayınlanması vb. fiillerin de Kanun kapsamında birer kişisel veri işleme faaliyeti teşkil ettiği ve böyle faaliyetlerin hem Kanun’da düzenlenen hukuki sebeplere dayanılarak hem de yine Kanun’da yer alan genel ilkelere uygun bir şekilde yürütülmesi gerektiği hususlarında herhangi bir şüphenin bulunmadığı,
  • •İlgili kişinin Kanun’un 11’inci maddesinde düzenlenen haklarına ilişkin olarak Kanun’un 13’üncü maddesine istinaden veri sorumlusuna yapmış olduğu başvurunun, Kanun’un yine 13’üncü maddesinde düzenlendiği şekilde veri sorumlusunca cevaplanması gerektiği,
  • İlgili kişi tarafından yapılan şikâyetin “veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği”, “veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” ve “ilgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki üç iddia üzerine yoğunlaştığı, bu yüzden inceleme konusu şikâyetin ilgili kişinin iddialarının yoğunlaştığı üç başlık altında değerlendirilmesinin yerinde olacağı,

“Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından: 

  • Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca bilgi verilmesinin bir yükümlülük olduğu,  söz konusu yükümlülük kapsamında uyulacak usul ve esasların belirlenmesi amacıyla çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde, ilgili kişilere yapılacak bilgilendirmenin asgari olarak Kanun’un 10’uncu maddesinde de sayılan beş hususu içermesi gerektiğinin hükme bağlandığı, “Usul ve Esaslar” başlıklı 5’inci maddesinde ise veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esasların düzenlendiği, 
  • Anılan mevzuat hükümleri uyarınca, ilgili kişiler hakkında yürütülen ve Kanun hükümlerinin uygulama alanı bulacağı kişisel veri işleme faaliyetleri kapsamında -kişisel verilerin elde edilmesi sırasında- veri sorumluları tarafından ilgili kişilere Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak bilgilendirmede bulunulması gerektiği,
  • Hâl böyle olmakla birlikte, dosyaya sunulan bilgi ve belgelerden; ilgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,

“Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” yönündeki iddia bakımından: 

  • İlgili kişi ile veri sorumlusu arasındaki iş ilişkisinin ne zaman sona erdiği hususunda taraflar arasında bir uyuşmazlık olduğu (İlgili kişi veri sorumlusu ile olan iş ilişkisinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiğinden bahsederken, veri sorumlusu tarafından ilgili kişi ile olan iş ilişkisinin bitiş tarihinin 01/07/2021 olarak bildirildiği), 
  • Taraflar arasında ilgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde Nisan 2021 öncesini kapsayan zaman diliminde yayınlanması konusunda herhangi bir ihtilafın bulunmadığı, 
  • Kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanabilmesi için ilgili kişi tarafından başlangıçta bir açık rıza verilip verilmediği dosya kapsamına sunulan bilgi ve belgelerden tam olarak anlaşılamasa da, söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında düzenlendiği şekliyle “açık rıza” olduğunun kabulü halinde, ilgili kişinin veri sorumlusuna ilettiği 26/05/2021 tarihli İhtarname’den sonra verilen açık rızanın geri alındığının da kabul edilmesinin gerektiği,
  • İlgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanmasının mümkün olabileceği, ancak bu hukuki sebebe dayanılabilmesi için -somut olay özelinde tespit edilecek- veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olmasının gerektiği, 
  • Somut olayda, ticari hayatta meşru bir şirket olarak faaliyet gösteren veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu ve bu ofiste kariyerli/yetkin kişilerin çalıştığını veya en azından kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceği ve böyle bir açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceği, 
  • Taraflar arasındaki iş ilişkisinin -ilgili kişinin iddia ettiği gibi- Nisan 2021 itibarıyla sona erdiğinin kabul edilmesi halinde ise, ilgili kişinin kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, mevcut iş ilişkisinin bitmesi sonrasında yeni iş arayışlarına girmesi noktasında ilgili kişinin Türkiye Cumhuriyeti Anayasası’nın 48’inci maddesinde düzenlenen “Çalışma ve sözleşme hürriyeti”ne zarar verebileceği ve ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağının savunulabileceği, zira iş aradığı sırada halen bir yerde çalışıyor görünen ilgili kişinin yapacağı iş başvurularının bu durumdan olumsuz etkilenmesinin ihtimal dâhilinde olduğu, 
  • Buna karşın, dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği, ilgili kişinin Nisan 2021 ile Temmuz 2021 arasını kapsayan dönemde mevzuatın veri sorumlusuna Covid-19 salgınının ortaya çıkardığı şartlardan ötürü geçici olarak tanıdığı bir hak sayesinde alınabilen tek taraflı bir kararla ücretsiz izne çıkarıldığının anlaşıldığı ve mevzuattan kaynaklanan böyle bir durumda ilgili kişinin iş sözleşmesinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiği iddiasının kabulünün mümkün görünmediği,
  • Neticede, ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı,

“İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından: 

  • Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinde ilgili kişilerin Kanun’un uygulanmasıyla bağlantılı olarak veri sorumlularına yapacakları başvuruların usul ve esaslarının ana hatlarıyla düzenlendiği, 
  • Bununla birlikte, veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi halinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmış olan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5’inci maddesinde “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” ifadesine, “Başvuruya cevap” başlıklı 6’ncı maddesinde ise “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” ifadesine yer verildiği,
  • İlgili kişinin Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesi uyarınca veri sorumlusuna yaptığı başvurunun, veri sorumlusu tarafından Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin 26/05/2021 tarihli başvurusuna cevaben iletilen 07/06/2021 tarihli e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı,
  • Dolayısıyla, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağı

değerlendirmelerinden hareketle;

  • İlgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına,
  • Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine,
  • İlgili kişiler tarafından kendisine Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası”
Karar Tarihi : 02/12/2021
Karar No : 2021/1217
Konu Özeti : İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapılması

Kuruma yapılan şikâyette özetle;

  • “Veri sorumlusu” ve “hizmet sağlayıcı” sıfatlarını haiz olan bir medya şirketinin televizyon kanalının Ana Haber programında ilgili kişi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri dâhilinde ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi anne hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı, 
  • Söz konusu yayına ilişkin olarak medya şirketine yapılan başvuruda 6698 sayılı Kanun’un 11’inci maddesi uyarınca Ana Haber programında yer verilen kişisel verilerin yok edilmesinin, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesinin ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğranılan zararların giderilmesinin talep edildiği,
  • Başvuruya konu Ana Haber programında, ilgili kişinin ve çocuğunun fotoğrafları kullanılarak ilgili kişinin ilk evliliğinden bir oğlunun ve bir kızının olduğu, altı yıldır da başkası ile evli olduğu ve ilk evliliğinden olan oğlunun ilgili kişiyi bıçakladığı, bıçak darbelerinden birinin ilgili kişinin kalbine geldiği, ilgili kişinin yaşam savaşı verdiği, cani evladın ise tutuklandığı ifadelerini içeren yayının yapıldığı,
  • İlgili kişinin habere konu olayın geçtiği ilde ikamet etmediği, eşinden de boşanmadığı, ayrıca bıçaklanmasının da söz konusu olmadığı, dolayısıyla habere konu olayın da ilgili kişi ve çocuğu hakkında olmadığı, gerçeğe aykırı haber yapılırken ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu,
  • Hukuka aykırı olarak kullanılan fotoğrafla yapılan haber nedeniyle 5237 sayılı Türk Ceza Kanunu’nun 132 ila 138’inci maddelerinde düzenlenen suçların işlendiğinden bahisle Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu,
  • Konuya ilişkin olarak medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediği

hususları bildirilmiş olup; kişisel veri niteliğindeki fotoğrafın ve kimlik bilgilerinin kullanılması, yayılması ve ifşa edilmesi suretiyle 6698 sayılı Kanun’a aykırı hareket edildiğinden bahisle ilgili kişi tarafından bahsi geçen kişisel verilerin imha edilmesi, uğranılan zararların giderilmesi, ayrıca medya şirketi hakkında idari ve cezai yaptırım uygulanmasına karar verilmesi talep edilmiştir. 

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde medya şirketinden savunması istenilmiş olup, verilen cevapta özetle;

  • Kendilerinin 6112 sayılı Radyo ve Televizyonların Kuruluş ve Yayın Hizmetleri Hakkında Kanun (6112 sayılı Kanun) kapsamında kurulmuş, özel televizyon yayıncılığı alanında faaliyet gösteren, yayınları ve faaliyetleri 6112 sayılı Kanun’da belirlenen kurallara, yayın ilkelerine ve Radyo ve Televizyon Üst Kurulu (RTÜK) denetimine tabi bir şirket oldukları,
  • Yayınlanan haberlere ilişkin düzeltme ve cevap metinlerinin 6112 sayılı Kanun’un “Düzeltme ve cevap hakkı” başlıklı 18’inci maddesi uyarınca değerlendirildiği, gerçek ve tüzel kişiler tarafından iletilen metinde düzeltme yapılması gerekirse ya da hukuken geçerli bir talep olmadığı kanaatine varılırsa yayın kuruluşunun metni yayınlamak zorunda olmadığı, bu durumda ilgilisinin yayın için gerekli sürenin bitiminden sonra süresi içerisinde görevli yargı merciine başvuracağı ve yayıncı kuruluşun ancak hakkında alınan cevap ve düzeltme metninin yayınına dair kesinleşmiş yargı kararından itibaren yedi gün içinde kararın gereğini yerine getirmek zorunda olduğu, aksinin RTÜK denetimi ve yaptırımı sonucunu doğuracağı,
  • 6112 sayılı Kanun’un ilgili hükümleri gereğince yayınlanmasına kesin olarak karar verilmiş olan cevap ve düzeltme metninin yayınlanmaması halinde yayın kuruluşlarına RTÜK tarafından idari yaptırım uygulandığı,
  • 6112 sayılı Kanun’un 18’inci maddesi uyarınca ihtarname üzerine cevap ve düzeltme metninin yayınlanmasının zorunlu olmadığı, aynı zamanda ilgili kişilerin ihtarname düzenlenmeksizin doğrudan genel yargı yoluna müracaat ederek bu haklarını kullanmalarının da mümkün olduğu, bu konuda esas yetkinin genel yargıda olduğu,
  • Dosya kapsamında medya kuruluşuna çekilen ihtarname ekinde yer alan cevap ve düzeltme metninin yetkililerince incelendiği, metnin toplumu yanıltacak şekilde düzenlendiği kanaatine varılmasından ve 6112 sayılı Kanun gereğince metin üzerinde değişiklik yapılamayacağından dolayı yayınlanmaması kararının alındığı,
  • Cevap ve düzeltme metninin yayınlanmamasına dair kararın hukuki gerekçelerinin bulunduğu, zira haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğunun ve o aşamada yapılabilecek bir araştırmanın da bulunmadığının anlaşıldığı,
  • Haber içeriğinde ne mağdur kadının ne de başka herhangi bir şahsın şeref ve haysiyetine veya kişilik haklarına saldırı teşkil edecek bir ifade veya yorumda bulunulmadığı, hatta haber ajanslarının mağdur kadın hakkında verdikleri detaylara dahi haberde yer verilmediği,
  • Haberi yayınlayan muhabirin olay yerine gidip ilgililerle ve faili yakalayan emniyet mensuplarıyla görüştüğü, mağdur kadının eşi de dâhil olmak üzere görüşülen kişilerden alınan bilgi ve teyit üzerine yayınlanan haberde ilgili kişiye ve çocuğuna ait olduğu bildirilen fotoğrafların tamamen yüzleri kapatılarak izleyicilere sunulduğu,
  • Haberde ilgili kişinin eşinin ve çocuğunun adlarının hiç geçmediği, ilgili kişi ile habere konu mağdur kadının isim ve soy isim benzerliği ile bilginin olay hakkında görüşülen emniyet mensuplarından alınması ve fotoğrafın teyidi karşısında esasen bu konuda kendilerine atfedilebilir bir kusurun bulunmadığı,
  • Kendilerine iletilen Kurum yazısında özetlenen şikâyet dilekçesi kapsamında haberdeki fotoğrafın herkese açık olduğu anlaşılan Facebook sayfasında yer aldığının ifade edildiği, bu yüzden söz konusu fotoğrafın kanuna aykırı bir şekilde elde edilmediğinin veya gizli bir veri olmadığının açık olduğu, kaldı ki fotoğrafların tamamen kapatılarak yayınlandığı, 
  • Mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği, buna rağmen gerek annenin gerekse oğlunun yüzlerinin tamamen kapatılarak yayınlandığı,
  • Orta düzeyde bir izleyicinin haberde yer alan fotoğraftaki kişinin talepte bulunan kişiye ait olduğunu anlamasının mümkün olmadığı, ayrıca olayın ilgili kişilerin ikamet etmedikleri bir ilde gerçekleşmiş olmasından ve olayın failinin açık kimliğinin ve görüntülerinin de haberde yer almasından dolayı şikâyetçilerin habere konu kişiler olduğu sonucuna varılamayacağının açık olduğu,
  • Bir an için haberde yer alan fotoğrafın talepte bulunana ait olduğu sadece kendisini tanıyanlar tarafından anlaşılsa dahi bunun isim benzerliğine dayanan bir hatadan kaynaklandığının da hemen anlaşılacağı, nitekim mezkûr olayın gerçekleştiği yerin açık bir şekilde haberde yer aldığı ve fotoğrafların blurlanmış/buzlanmış şekilde yayında gösterildiği, 
  • Haberin içeriğinde yer verilen hiçbir unsurun şikâyetçilerin şeref ve haysiyetini ihlal eder nitelikte olmadığı, habere konu olayın tamamen gerçek olduğu, haberdeki tek hatanın mağdur kadının ismi ile olan benzerlik nedeniyle ilgili kişinin isminin bir kez haberde yer alması ve bu isimle muhabirlerine verilen fotoğrafların yüzleri tamamen kapatılarak haberde yer alması olduğu, 
  • Dolayısıyla, şikâyetçilerce “medya şirketi tarafından yalan ve yanlış bir haber yayınlanmış, olayın gerçekleştiği ilde bir oğul annesini bıçaklamamış gibi” hazırlanan cevap ve düzeltme metni üzerinde herhangi bir düzeltme yapılmasına imkân bulunmadığından yasal yollar tüketilmeden gönderilen metnin yayınlanmaması kararı alınmasının tamamen haklı ve hukuka uygun olduğu,
  • Ancak şikâyetçinin RTÜK yerine doğrudan genel yargı yoluna başvurduğu ve mahkeme kararı üzerine süresi içerisinde cevap ve düzeltme metnini yayınladıkları, bu noktada Kişisel Verileri Koruma Kuruluna (Kurul) şikâyetin cevap ve düzeltme metninin yayınlanmasından sonra yapıldığının dikkat çekici olduğu,
  • Cevap ve düzeltme metninin yayınlanmasıyla birlikte haber yayınındaki verilere ilişkin hatanın düzeltildiği ve bu düzeltmenin üçüncü kişilere yani ilk yayının ulaştığı izleyicilere bildiriminin tamamlandığının vakıa olduğu, 
  • Yayın kayıtlarını silmelerinin, yok etmelerinin veya üzerinde düzeltme yapmalarının tabi oldukları 6112 sayılı Kanun kapsamında mümkün olmadığı, zira 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesi gereğince yaptıkları her yayının kaydını bir yıl süreyle muhafaza etmekle yükümlü oldukları, 
  • Bu bakımdan haberdeki yüzleri kapatılmış fotoğrafın ve sadece bir kez geçen ismin silinmesine yönelik talebin kabulünün 6112 sayılı Kanun kapsamında bir yıldan önce mümkün olmadığı, ayrıca 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesinin son fıkrasında da “Yayının herhangi bir şekilde soruşturma veya kovuşturma konusu yapılması halinde, bu işlemlerin sonuçlandığının yetkili mercilerce ilgili medya hizmet sağlayıcı kuruluşa yazılı olarak bildirilmesine kadar soruşturma veya kovuşturma konusu yayın kaydının saklanması zorunludur.” denildiği,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasında yazılı basın ve televizyon faaliyetlerini de içine alan ifade özgürlüğü kapsamında kişisel verilerin işlenmesinin 6698 sayılı Kanun hükümlerinin uygulanması hususunda tam bir istisna hali olarak düzenlendiği,
  • Anayasa’nın 26’ncı maddesinin de “Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet Resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar. (…) Bu hürriyetlerin kullanılması, millî güvenlik, kamu düzeni, (…), başkalarının şöhret veya haklarının, özel ve aile hayatlarının yahut kanunun öngördüğü meslek sırlarının korunması veya yargılama görevinin gereğine uygun olarak yerine getirilmesi amaçlarıyla sınırlanabilir.” hükmünü içerdiği,
  • Haber bültenlerinin kuşkusuz 6698 sayılı Kanun’un 28’inci maddesinde sayılan istisna kapsamına girdikleri, bu bakımdan yayınlanan haberin Anayasa’nın 26’ncı maddesi uyarınca güvence altına alınan “basın hürriyeti” ve “kamunun haber alma hakkı” kapsamında değerlendirilmesi gerektiği,
  • İfade özgürlüğü ve basın hürriyetinin değerlendirmesi yapılırken ifade özgürlüğünü ve basın hürriyetini düzenleyen Anayasa’nın ilgili maddelerinin, taraf olduğumuz uluslararası sözleşmelerin, basın özgürlüğünün sınırlarına ilişkin Avrupa İnsan Hakları Mahkemesinin (“AİHM”) yerleşik içtihatlarının ve kriterlerinin dikkate alınmasının zorunlu olduğu, 
  • Yargıtay ve doktrinde istikrar bulmuş görüşler uyarınca bir haberin ifade özgürlüğü kapsamında haber niteliği taşıyabilmesinin belirli bazı koşullara bağlı olduğu, bunların “haberin (1) gerçek olması, (2) güncel olması, (3) verilişinde kamusal ilgi ve yararın bulunması, (4) düşünce ve ifade arasında düşünsel bağ bulunması” şeklinde belirlendiği, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da 6698 sayılı Kanun’un 28’inci maddesinde istisna olarak kabul edilen ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde “haberin; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, özü ile biçimi arasındaki denge” kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiğinin vurgulandığı,
  • Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararında basın özgürlüğü ve toplumun bilgiye ulaşma hakkının önemine vurgu yapılarak yarışan haklar arasındaki dengenin somut olay özelinde değerlendirilmesi gerektiğinin belirtildiği,
  • Keza Yargıtay 4. Hukuk Dairesinin 2016/5516 E., 2016/8275 K. ve 23/06/2016 tarihli kararında da basın özgürlüğü ile kişilik hakları çatışmasında izlenecek yol ve kriterler belirlenirken kamusal yarar kapsamında basın özgürlüğüne üstünlük tanınması gerekeceğinin “(…) O anda ve görünürde var olup da sonradan gerçek olmadığı anlaşılan olayların yayınından da basın sorumlu tutulmamalıdır.” açıklamaları ile vurgulandığı,
  • Yine Yargıtay 4. Hukuk Dairesinin 17/05/1999 tarihli ve 2683 E., 4551 K. sayılı hükmünde de “Hukuka uygunluk nedenlerinde, korunan kişinin (o an için) korunmakta ya bir çıkarı yoktur ya da korunan çıkar karşısında yer alan ve onunla çatışan değer daha üstünlük taşımaktadır. Bunun sonucunda da, daha az üstün yarar, daha çok üstün olanı karşısında, hukuk düzenince çiğnenmesi uygun görülmektedir. Böylece ya ‘çıkar eksikliği veya yokluğuna dayanan hukuka uygunluk’ ya da ‘çıkar üstünlüğüne dayanan hukuka uygunluk’ söz konusu olmaktadır.” vurgusunun yapıldığı,
  • Avrupa Birliği Adalet Divanının (ABAD) bir kararında da, demokratik toplumda ifade özgürlüğünün önemli olduğunun, geniş yorumlanması gerektiğinin, kişisel verilerin korunması hakkı ile ifade özgürlüğü arasındaki dengede kişisel verilerin korunması hakkının istisnalarının ve sınırlamaların zaruri olduğu kadarının uygulanması gerektiğinin belirtildiği, bu bakımdan 6698 sayılı Kanun’un 28’inci maddesinde ifade özgürlüğüne tam istisna tanınmasında büyük bir isabet bulunduğu konusunda bir kuşkunun olmadığı,
  • Her ne kadar 6698 sayılı Kanun özel bir usulle ve idari yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de somut olay özelinde olduğu gibi 6112 sayılı Kanun, Türk Medeni Kanunu ve daha pek çok kanunda yer alan düzenlemelerin ilgili kişileri koruyucu hükümler ve yaptırımlar içerdiği, dolayısıyla 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisna nedeniyle kişilerin korumasız kaldığı sonucunun da doğmadığı,
  • Nitekim somut olayda şikâyetçilerin 6112 sayılı Kanun’un 18’inci maddesi uyarınca genel yargı yerine müracaat ettikleri ve verilen yargı kararıyla hatanın düzeltilmesini, bu şekilde de iddia olunan zararlarının giderilmesini temin ettikleri, 
  • Şikâyetçilerin lehlerine kesin karar almalarına karşın Kuruma aynı taleplerle şikâyette bulunmalarının hukuken himaye edilemeyeceği, yargıya müracaat ile taleplerini karşılamış olan şikâyetçilerin varsa başkaca hakları bunu yine genel yargı yoluna müracaat ile sağlamaları gerekirken yargı yerine Kurul eliyle kendilerine menfaat sağlamak istemelerinin yargı denetiminden kaçınılması ve hakkın kötüye kullanılması mahiyetinde olduğu,
  • 6698 sayılı Kanun özel bir usulle ve yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de 6112 sayılı Kanun’un da aynı amacı güden düzenlemeler içerdiği, kendilerinin yayınları üzerinde denetim yetkisinin de esasen özel yasa ile RTÜK’e verildiği ama cevap ve düzeltme metni yayınlanıp konu hakkında RTÜK’e bilgi verilmesine rağmen mezkûr yayın hakkında RTÜK tarafından herhangi bir işlem tesis edilmediği, bununla birlikte RTÜK’ün dahi zarar tazmini gibi maddi konuların genel yargı tarafından çözülmesi gerektiğini kabul ettiği ve bu tür müracaatlara bu gerekçelerle olumsuz cevap verdiği, 
  • Tüm açıklamaların ve sunulan kanıtların şikâyet konusu yayın hakkında genel yargı yoluna müracaat edildiğini ve şikâyetçilerin kendi haklarını koruyabilme imkânına sahip olduklarını gösterdiği, 
  • Detaylı olarak açıklandığı üzere, şikâyete konu haberinin içerik olarak tamamen gerçeğe uygun olduğu, ayrıca yayınlanmasında kamu yararı bulunan güncel bir olayın özle biçim arasındaki denge bozulmaksızın haber konusu edildiği, ne var ki emniyet kaynaklı ve isim benzerliğine dayalı bir hatanın -herkese açık bir yerden elde edilen fotoğraf haberde tamamen yüzleri kapatılarak yayınlanmış olsa da- şikâyete konu olduğu, ancak cevap ve düzeltme metninin yayınlanması ile hatanın telafi edildiğinin de vakıa olduğu, zira inceleme konusu açısından kişisel verilerin aktarıldığı üçüncü kişiler olan izleyicilere bildirimin yapıldığı ve uğranılan bir zarar varsa bunun da giderildiği,
  • Düzenlenen ihtarnamede her ne kadar 6698 sayılı Kanun’un 11’inci maddesi uyarınca kişisel verilerin yok edilmesi talep edilse de şikâyetçilerin kişisel veri olarak belirttiği hususlar ile haber kaydının en az bir yıl süreyle tutulmasının 6112 sayılı Kanun’un ilgili hükümleri nedeniyle zorunlu olduğu, dolayısıyla bu konudaki talebin yerine getirilmesinin şu an için mümkün olmadığı,
  • Görüleceği üzere, somut olayda genel bir kanun olan 6698 sayılı Kanun ile özel bir kanun olan 6112 sayılı Kanun arasında bir çatışmanın da söz konusu olduğu, ancak şikâyet konusu haber hakkında 6698 sayılı Kanun’un uygulama alanı bulamayacağı ve bu durumun da 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisnanın isabetinin bir kez daha tezahürü olarak kabul edilmesi gerektiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1217 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altın alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinde ise 6698 sayılı Kanun’un hiçbir hükmünün uygulanmayacağı “tam istisna halleri” ile 6698 sayılı Kanun’un belli hükümlerinin uygulanmayacağı “kısmî istisna halleri”nin düzenlendiği,
  • Dosyaya sunulan bilgi ve belgeler, 6698 sayılı Kanun’un 1, 2, 3, 4, 5, 6 ve 8’inci madde hükümleri ışığında ele alındığında; ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve çocuğuna ait bir fotoğrafın adı geçen kişilerin kimliklerini belirli veya belirlenebilir kılmaları nedeniyle “kişisel veri” niteliğini haiz olacakları, ayrıca ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve 6698 sayılı Kanun hükümleri dâhilinde ilgili kişi sıfatını haiz olan ilgili kişinin çocuğuna ait fotoğrafın medya şirketi bünyesinde kayıt altına alma, depolama, yayınlama vb. fiillere konu edilmesinin 6698 sayılı Kanun uyarınca birer “kişisel veri işleme faaliyeti” teşkil edeceği, bahsi geçen kişisel veri işleme faaliyetlerini yürüten medya şirketinin 6698 sayılı Kanun önünde “veri sorumlusu” olacağı, bu durumda medya şirketi tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kanun’un 5’inci maddesinde yer alan şartlardan birine dayanarak ve 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun şekilde yürütülmesinin gerekeceği konularında herhangi bir şüphenin bulunmadığı,
  • İlgili kişilere ait fotoğrafın medya şirketi tarafından blurlanmak/buzlanmak suretiyle yayınlanmış olmasının somut olayda blurlanan/buzlanan fotoğraf ile “isim ve soy isim” gibi başka bilgilerin birleştirilmesi/eşleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ötürü mezkûr fotoğrafın kişisel veri niteliğini ortadan kaldırmadığı, zira ilgili kişinin haberde paylaşılan isim ve soy isim bilgileri ile arama motorlarından ve/veya –dosya kapsamına sunulan bilgi ve belgelerde belirtildiği üzere- Facebook adlı sosyal medya platformundan arama yapıldığında bu fotoğrafın blurlanmamış/buzlanmamış versiyonuna da erişimin mümkün olduğu, 
  • İlgili kişilerin haberde kullanılan fotoğrafının herkese açık olduğu anlaşılan Facebook sayfasında yer almasının (diğer bir deyişle alenileştirilmiş olmasının), bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği ve fotoğrafın işlenmesinin 6698 sayılı Kanun’da düzenlenen kişisel veri işleme şartlarına dayanması gerektiğinin açık olduğu, 6698 sayılı Kanun kapsamında “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu ve ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunduğu,
  • Tüm bunların yanı sıra; 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde 6698 sayılı Kanun hükümlerinin “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde uygulanmayacağının düzenlendiği, dolayısıyla inceleme konusu şikâyete esas haberden ibaret olan yayın faaliyetinin mezkûr hükmün kapsamına girip girmediğinin öncelikle değerlendirilmesi gerektiği, 
  • 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi düzenlemesinin kişisel verilerin işlendiği ve ifade özgürlüğü ile özel hayatın gizliliğinin veya kişilik haklarının çatıştığı hallerde haklar arasında bir denge testinin yapılmasını gerektirdiği ve sadece -yapılacak denge testinin ardından - çatışan haklar bakımından özel hayatın gizliliğinin veya kişilik haklarının ifade özgürlüğüne üstün geldiğinin anlaşıldığı durumların 6698 sayılı Kanun hükümlerine göre incelenip değerlendirilebileceği,
  • Bu çerçevede, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da belirtildiği üzere, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin; a) Kamu ilgi ve yararı taşıması, b) Gerçek ve güncel olması, c) Özü ile biçimi arasındaki denge, kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,
  • Haberin kamu ilgi ve yararı taşıyıp taşımadığının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin gerektiği,
  • Şikâyete esas haberin esasını oluşturan “bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, buna karşın kamuoyu nezdinde “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında inceleme konusu haberin “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu sonucuna ulaşıldığı,
  • Haberin gerçek ve güncel olması kapsamında; gerçekliğin habere konu edilen olayın gerçek olması anlamına geldiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği ve görünürdeki gerçekliğe uygun olarak yapılan haberlerden ötürü basının sorumlu tutulmamasının ihtimal dâhilinde olduğunun kabul edildiği,
  • Bahsi geçen “maddi gerçeklik” kavramının haber konusu olayın haberde zikredildiği şekliyle gerçekleşip gerçekleşmediğini nitelemekte olduğu, “görünürdeki gerçeklik” kavramının ise haberin verildiği anda ve görünürde var olan olgulara uygunluğunu ifade ettiği,
  • Diğer taraftan, bir haberin maddi gerçekliğe veya görünürdeki gerçekliğe uygun olup olmadığı konusunda bir değerlendirme yapılmadan önce, o habere konu bilgilerin gerçeğe uygun olup olmadığının araştırılması hususunda ilgili basın kuruluşu tarafından gereken her türlü dikkat ve özenin gösterilip gösterilmediğinin ele alınması gerektiği,
  • Zira haber yapılmadan önce ilgili basın kuruluşunca gereken her türlü dikkat ve özen gösterilmemişse, orada artık maddi gerçeklik veya görünürdeki gerçeklik tartışması yapılmasının herhangi bir fayda sağlamayacağı,
  • İnceleme konusu haber bu bilgiler ışığında ele alındığında; haberin dayandırıldığı olay örgüsünün gerçek olduğu ama bir bütün olarak bakıldığında haberin doğru/gerçek olmadığı, zira haberde mağdurun adının yanlış aktarıldığı ve olayla alakasız bir kişi konumunda olan ilgili kişinin çocuğu ile birlikte olduğu bir fotoğrafının blurlanarak/buzlanarak da olsa kullanıldığı, bunun da yapılan haber yayınlanmadan önce medya şirketi tarafından haber içeriğindeki unsurlarının doğruluğuna ilişkin gereken her türlü dikkat ve özenin gösterilmediğine işaret ettiği,
  • Medya şirketi “haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğu ve o aşamada yapılabilecek bir araştırmanın da bulunmadığı” yönünde bir savunma yapmış olsa da, yine medya şirketi tarafından Kuruma iletilen ve yapılan haberin kaynağı olarak gösterilen (İHA ve DHA haber ajanslarına ait) haberlerde mağdur kadının isminin doğru bir şekilde yazılmış olduğunun görüldüğü, 
  • Dolayısıyla, medya şirketince dikkatli ve özenli bir şekilde haber yapılmış olsa idi yapılan isim yanlışlığının en azından haberde görüntülerine yer verilen mağdur kadının eşinden teyit edilmek suretiyle düzeltilebileceğinin rahatlıkla söylenebileceği,
  • Medya şirketi “mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği” yönünde bir savunma beyanında bulunmuş olsa da bu beyanın tevsik edici herhangi bir belge ile desteklenemediği, böyle bir eksikliğin ise medya şirketinin söz konusu beyanının salt olarak sorumluluktan kurtulmak amacıyla ortaya atılmış olabileceği izlenimini uyandırdığı,
  • Zira medya şirketinin savunmasında bahsedildiği gibi bir “onay” işleminin mevcut olması durumunda, bahsi geçen onay işlemin işini dikkatli ve özenli yapan bir basın kuruluşu tarafından yazılı ve/veya görüntülü olarak kayıt altına alınmasının hayatın olağan akışına uygun olacağı ve haberin yapımı ve yayınlanması sürecini sekteye uğratacak ek bir külfet de getirmeyeceği,
  • Öte yandan, “haberin güncel olması” kriterinin somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayınlanmasında haber verme hakkından söz edilemeyeceğinin ve kişilik hakkına üstünlük tanınması gerekeceğinin savunulabileceği,
  • Bu kapsamda, somut olayda habere konu olayın haberleştirilmesinde kamu yararının bulunup bulunmadığının tartışmalı olduğu düşünülse de, habere konu olayın gerçekleşme tarihi ile haberin veriliş tarihi göz önüne alındığında haberin güncel olduğunun söylenebileceği,
  • Biçim ve öz arasındaki denge kriteri açısından; kullanılacak dil ve ifade ile yapılacak niteleme ve vurgunun haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının gerektiği (diğer bir deyişle, haberde kullanılan dil, ifade, resim/şekil/tablo ve fotoğrafların haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği),
  • Haber verilirken gerekli, yararlı ve ilgili olmayan içeriklerin kullanılmasının kişilik haklarına ölçüsüz müdahale anlamına gelebileceği, bu yüzden inceleme konusu haberin verilişinin –kullanılan fotoğrafların blurlanmış/buzlanmış olması nedeniyle- ölçülü olduğunun ilk bakışta savunulabileceği,
  • Ancak ilgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğunun kabul edilmesi gerektiği, ayrıca haberin biçimi açısından anılan fotoğrafların blurlanmış/buzlanmış şekilde de olsa ekrana yansıtılmasının gerekli olmadığının da savunulabileceği,
  • Yayınlanan bir haber kapsamında çatışan haklar konumundaki ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için zikredilen üç kriterin de aynı anda karşılanmasının gerektiği, ancak inceleme konusu şikâyetin dayandığı haber bakımından bahsi geçen kriterlerin tamamını karşılanmadığı,
  • Bu yüzden, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamayacağı,
  • Veri sorumlu medya şirketinin ilgili kişiler hakkında yürüttüğü kişisel veri işleme faaliyetinin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamamasından ötürü söz konusu kişisel veri işleme faaliyetinin 6698 sayılı Kanun hükümlerine uygun olması gerektiği,
  • Bununla birlikte, somut olayda veri sorumlusu tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetleri için 6698 sayılı Kanun’da düzenlenen herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun ise mezkûr kişisel veri işleme faaliyetini hukuka aykırı hale getirdiği,
  • 6698 sayılı Kanun’un “Kurula şikayet” başlıklı 14’üncü maddesinin (3) numaralı fıkrasındaki “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü, 6698 sayılı Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15’inci maddesindeki “(…) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikayetler incelemeye alınmaz. (…)” hükmü ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek dilekçeler” başlıklı 6’ncı maddesindeki “Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden; (…) b) Yargı mercilerinin görevine giren konularla ilgili olanlar, (…), incelenemezler.” düzenlemesi gereğince, ilgili kişilerin yargı mercilerinin görev alanına giren veri sorumlusundan tazminat talepleri konusunda Kurul tarafından yapılabilecek herhangi bir işlemin bulunmadığı, 
  • İnceleme konusu habere ilişkin olarak, bir yargı kararına istinaden veri sorumlusu tarafından süresi içerisinde cevap ve düzeltme metninin yayınlanması suretiyle yayının ilk ulaştığı izleyicilere haberde yapılan hata hakkında bildirimde bulunulmuş olmasının veri sorumlusu tarafından yürütülen hukuka aykırı kişisel veri işleme faaliyetini ortadan kaldırmayacağı,
  • İlgili kişiler tarafından Kurula yapılan şikâyetin, mahkeme kararına istinaden bir cevap ve düzeltme metninin yayınlanmasından sonra yapılmış olmasının konuya ilişkin olarak 6698 sayılı Kanun hükümleri uyarınca yapılacak müstakil değerlendirmeleri etkilemeyeceği

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği kanaatine varıldığından, veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlularınca hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğundan bahisle ilgili kişiler tarafından öne sürülebilecek maddi ve/veya manevi tazminat talepleri için adli makamlar nezdinde girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine

karar verilmiştir.

02.12.2021: “Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1214
Konu Özeti : Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Şikâyete ilişkin başlatılan inceleme çerçevesinde Bakanlıktan ve Üniversiteden konuya ilişkin bilgi ve belge talep edilmiş olup Bakanlık tarafından verilen cevapta özetle;

  • …… olarak görevlendirilecek kişilerin görevlerine başlamadan önce eğitim almalarının ve görev yaptıkları sürece eğitime tabi tutulmalarının sağlanacağının ilgili mevzuatta hüküm altına alındığı, şikâyet konusu olan eğitimin, üniversiteler tarafından verildiği, Bakanlık Genel Müdürlüğünün şartları haiz eğitim kuruluşlarına mevzuat uyarınca eğitim izni verdiği, dolayısıyla eğitim faaliyeti ve eğitimin düzenine ilişkin hususların eğitim kuruluşları tarafından yerine getirildiği, Bakanlık ile eğitim kuruluşları arasındaki ilişkinin ilgili yönetmelik hükümleri ile belirlendiği, 
  • Konuya ilişkin mevzuatta ancak eğitimini tamamlayanların mesleki sicile kayıt olabilmeleri için yazılı sınavda başarılı olmaları gerektiğinin düzenlendiği,
  • Eğitimlerinin etkin ve mevzuata uygun bir şekilde gerçekleştirilmesinin sağlanması amacıyla, ilgili mevzuat kapsamında, eğitim programlarının takibi, koordinasyonu ve denetimi için eğitim yönetim sistemi adlı bir yönetim paneli oluşturulduğu, eğitim kuruluşlarının, eğitimlerini mevzuatın gerektirdiği yükümlülüklere uygun bir şekilde gerçekleştirmek durumunda olduğu,
  • Bakanlığın söz konusu hususa ilişkin olarak, veri sorumlusu sıfatı ile sorumluluğunun bulunmadığı,
  • İlgili Yönetmelik kapsamında eğitime katılanların, belgeye dayalı ve eğitim kuruluşlarınca kabul edilen haklı bir mazeretleri olmadıkça eğitim süresince verilen ders ve çalışmalara katılımlarının zorunlu olduğu ve adayın eğitimi başarıyla tamamlamasının, mevzuatta öngörülen sürede eğitime katılmış olması şartını sağlamasına bağlı olduğu,
  • Eğitiminin başarıyla tamamlanmasının, sınav ve sicile kayıt başvurusu için bir ön şart olduğu, 
  • Sınav başvurusu ve şekline ilişkin usul ve esasların düzenlendiği Yönetmeliğin ilgili maddesi uyarınca ilgililer tarafından sınav müracaatında bulunulurken başvuruya T.C. kimlik numarası ve eğitimini tamamladığını gösteren katılım belgesi ile mezuniyet belgesi asılları veya onaylı suretlerinin eklenmesi gerektiğinin hüküm altına alındığı, bu çerçevede ilgilinin yazılı sınava girebilme hakkını taşıyıp taşımadığının Bakanlık tarafından incelendiği, başka bir ifade ile sınav başvurusunun adayın eğitimini başarıyla tamamlayıp tamamlamadığı ve öğrenim yönünden sınava girebilme şartlarını haiz olup olmadığı açısından değerlendirildiği,
  • Katılım belgesinin ise eğitimlerini başarı ile tamamlayan kişilere, eğitim kuruluşları tarafından düzenlenerek verildiği, Bakanlık tarafından, adayın, eğitimini başarıyla tamamlayıp tamamlamadığının ibraz ettiği bu katılım belgesi incelenerek denetlendiği, devam zorunluluğunu takip etme, aksi durumda eğitim programı ile ilişiğini kesme yükümlülüğünün ise Bakanlığa değil, eğitim kuruluşuna ait olduğu, bu nedenle ilgili mevzuat kapsamında adayların derslere devam durumunu gösteren çizelgenin eğitim kuruluşlarınca düzenlenmesi gerektiğinin hüküm altına alındığı,
  • Bakanlık tarafından sınava ve sicile başvuru esnasında devam çizelgesinin değil katılım belgesinin denetlendiği, ileride adayın devam durumuna ilişkin bir itirazının bulunması veya Bakanlığın aleyhine dava açılması ihtimallerine binaen, devam çizelgesinin bir örneğinin Bakanlığa gönderildiği, aslının ise eğitim kuruluşunda saklandığı, dolayısıyla devam çizelgesinin, sınav ve sicil başvurusu esnasında adayın eğitimini başarıyla tamamladığını gösteren ve Bakanlık tarafından incelemesi yapılan katılım belgesine dayanak teşkil eden bir belge niteliğinde olduğu,
  • Diğer yandan, ilgili kişinin Eğitim Merkezinin ilgili eğitim biriminin yoklama listelerini Bakanlık tarafından hazırlanan sistemden aldığı yönünde cevap verdiğine ilişkin beyanıyla ilgili olarak ise; Bakanlık tarafından eğitim kuruluşlarına adaylara ilişkin devam çizelgelerinin T.C. kimlik numaralarıyla birlikte imzalatılması ve sonrasında Bakanlığa gönderilmesi yönünde bir bildirimde bulunulmadığı gibi, hali hazırda devam çizelgesi hazırlama yükümlülüğünün de eğitim kuruluşunda olduğu,  eğitim yönetim sistemi panelinde çıkan listede yer alan T.C. kimlik numaralarına, bir grupta aynı ad ve soyadında birden fazla adayın bulunması halinde çıkabilecek ihtilafın önlenmesi amacıyla yer verildiği, eğitim kuruluşlarının ilgili mevzuatta öngörülen devam çizelgesini düzenlemeyip, eğitim yönetim sisteminde yer alan listeyi kullanmak istemesi durumunda ise çizelgeyi, gerekirse T.C. kimlik numaralarını çıkartmak veya elden ele dolaştırmayarak, adayın eğitmenin yanına gelerek imzasını atmasını sağlamak gibi yöntemlerle ikmal edebileceğinin izahtan vareste olduğu,
  • Öte yandan, ilgili kişinin Bakanlığa yaptığı başvurusuna Bakanlık tarafından cevap verildiği, ilgili kişinin başvurusuna cevap verilmediğine yönelik iddiasının gerçeği yansıtmadığı

ifade edilmiştir.

Üniversite tarafından verilen cevapta ise özetle;

  • Merkez bünyesinde eğitim alan katılımcıların kişisel verilerinin, Kanun’un 5’inci maddesinin (1) ve (2) numaralı fıkralarında yer alan maddelere dayanılarak işlendiği, 
  • Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, Sözleşme imzalandığı, ilgili mevzuat çerçevesinde katılımcıların devam durumlarını takip etmek üzere yoklama alma zorunluluğu bulunduğu, katılımcıların bu hususları kabul ederek eğitime katıldığı,
  • Yoklama listelerinin tamamının sınıf içerisinde ve her bir dersin sorumlu öğretim elemanının kontrolünde katılımcılara imzalatıldığı, yoklama listelerinin imzalatılmasının katılımcıların eğitime devam durumlarının kayıt altına alınabilmesi için kendilerinin hukuki yükümlülüğü olduğu,
  • Kişisel Verilerin Korunması Kanunu'nun 12’nci maddesi çerçevesinde Merkezin söz konusu eğitime ve katılımcılarına ilişkin bilgi ve belgeleri belirli yöntemlerle topladığı, uhdesinde güvenli olarak sakladığı ve Bakanlık dışında hiçbir şekilde üçüncü kişilerle paylaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde veri sorumlusu ve veri işleyen tanımlarına yer verilmekte olup “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Şikâyete konu olan eğitimin, üniversiteler tarafından verilebildiği ve bu eğitimin verilmesi sürecinde Bakanlığın izin, takip, koordinasyon ve denetim yönünden yetkili olduğu, eğitim faaliyeti ve eğitimin düzenine ilişkin hususların ise izin verilen eğitim kuruluşları tarafından belirlendiği ve yerine getirildiği, aynı zamanda bu hususlara ilişkin Bakanlık ile eğitim kuruluşları arasındaki ilişkinin yönetmelik hükümleri ile belirlendiği anlaşıldığından şikâyete konu olay çerçevesinde; Bakanlık ve Üniversitenin kişisel veri işleme faaliyeti alanları kapsamında ayrı ayrı veri sorumlusu olarak faaliyette bulunduğu,
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “ (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Üniversite tarafından ilgili kişinin başvurusuna cevap verildiği, fakat Bakanlık tarafından ilgili kişinin başvurusuna verilen cevabın Kanun’un 13’üncü maddesi uyarınca veri sorumlularına tanınan 30 günlük süre aşıldıktan sonra gerçekleştirildiğinin tespit edildiği,
  • Diğer taraftan, ilgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu, 
  • 6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hükmünü amir olduğu, 

  • Bu kapsamda ilgili kişinin eğitim hakkının gereği gibi yerine getirilmesi ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerinin işlenmesine ilişkin hukuki zemin irdelendiğinde; Bakanlığın söz konusu eğitim, sınav, görev ve sorumluluklar, denetim, eğitim verecek kişi, kurum ve kuruluşların nitelikleri ve denetimleri ile …. sicili, eğitim kurumlarının listelerinin düzenlenmesi, gibi hususlarda ilgili Kanun ile görevlendirildiğinin anlaşıldığı,  bu kapsamda ilgili Kanun ile görevlendirilen veri sorumlusu Bakanlığın, 6698 sayılı Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü çerçevesinde kişisel veri işleme faaliyetinde bulunduğunun değerlendirildiği,
  • Öte yandan, veri sorumlusu Üniversitenin ilgili Yönetmelikle kendisinden beklenen yükümlülüklerinin ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü ile (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü çerçevesinde işlediği, 
  • Diğer taraftan Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede kişisel verilerin ancak, 

a)    Hukuka ve dürüstlük kurallarına uygun şekilde, 
b)    Belirli, açık ve meşru amaçlar kapsamında, 
c)    Doğru ve gerektiğinde güncel olma şartıyla, 
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 

ilkelerine uygun olarak işlenebileceğinin belirlendiği, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi” uyarınca, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, kişisel verilerin açıkça yer almasının zorunluluk teşkil etmemesi halinde veri işlenirken maskeleme, anonimleştirme gibi yöntemlerin kullanılması gerektiği, 

  • Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
  • Ayrıca Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinin; “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü haiz olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin ilgili kişinin talebine bağlı olmadığı ve (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun belirtildiği,
  • Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde Kanun’un 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiği belirtilmiş ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları konularını içermesi gerektiğinin ifade edildiği,
  • Konuya ilişkin olarak Üniversiteden alınan yazıda; Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
  • Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,
  • İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine

karar verilmiştir.

25.11.2021: “Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi”
Karar Tarihi : 25/11/2021
Karar No : 2021/1187
Konu Özeti : Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; 

  • Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü,
  • Veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği,
  • İlgili kişinin 16.11.2020 tarihi itibariyle tek taraflı olarak iş akdini feshettiği, buna rağmen işveren sıfatını haiz olmadığı dönem de olmak üzere veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı,
  • Veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmadığı ve açık rıza metni sunulmadığı, 
  • Müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun "cloud" olduğu ve söz konusu Cloud'un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların "server"larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin Kanun'un 9'uncu maddesine uygun olarak gerçekleştirilmesi gerektiği,
  • İlgili kişinin şirket e-posta hesabının veri sorumlusu tarafından tahsis edilmiş olduğu, bu e-posta hesabına kimlerin erişim sağladığı belirli olmamakla birlikte, veri sorumlusu tarafından sunulan cevabi yazının içeriğinden, söz konusu verilerin şirket hissedarı ve şirket yetkilisi ile diğer bazı işyeri çalışanlarının erişime açık bir halde olduğunun anlaşıldığı,
  • Kanun’un 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edildiği 

ancak veri sorumlusu tarafından verilen cevabın maddi gerçekleri yansıtmadığı ve yetersiz görüldüğü hususları belirtilmiş ve Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişi ile veri sorumlusu arasındaki ihtilafın esasen Kanun’dan kaynaklanan bir sorun olmadığı,
  • Konunun işyerinde çalışan ve çalıştığı süre boyunca rakip firmalara iş kaydırarak işyerini ciddi şekilde zarar uğrattığı tespit edilen eski bir çalışan ile ciddi şekilde zarara uğrayan işveren arasında karşılıklı suçlama, talep ve davalarla devam etmekte olan hukuki bir ihtilaf olduğu, bu kapsamda ilgili kişi ile veri sorumlusu arasında süregelen sekiz adet dava ve ceza soruşturmasının bulunduğu,
  • İlgili kişinin, veri sorumlusu bünyesinde bilişim faaliyetleri alanında teknik nitelikli bir personel olarak çalışmaya başladığı ve iş akdini tek taraflı irade beyanı ile feshettiği,
  • İlgili kişiye ait yazışmaların söz konusu yargılama süreçlerine delil olarak sunulması nedeniyle, ilgili kişinin özel hayatını ilgilendiren şahsi e-posta içeriklerine veri sorumlusu tarafından hukuka aykırı olarak erişildiği ve Anayasa ile koruma altına alınan özel hayatın gizliliği ile haberleşme gizliliği hakkının ihlal edildiğinden bahisle veri sorumlusu ve veri sorumlusu şirket yetkilisi hakkında Başsavcılığa şikâyette bulunulduğu, ancak bu şikâyetin yürütülen soruşturma neticesinde kovuşturmaya yer olmadığına dair karar verilerek reddedildiği,
  • İlgili kişiye iş ilişkisi kapsamındaki kurumsal faaliyetlerde ve işin gerektiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, iş ilişkisi kapsamında çalışana tahsis edilmiş olan kurumsal e-posta hesaplarının sadece işin ifası amacı ile kullanılacağının açık olduğu, bu nedenle bilişim alanında uzman olarak çalışan bir personelin bu gerekliliğin bilincinde olması gerektiği, bu hususta ilgili kişiye ilave denetim kriterlerinin uygulanmasının hayatın olağan akışına aykırı olacağı ve ilgili kişinin kurumsal e-posta hesabını kullanmaması yönünde uyarılmasına ihtiyaç bulunmadığı,
  • Şikâyete konu e-posta hesabının veri sorumlusuna ait olduğu, e-posta hesabının ilgili kişinin ad ve soyadı ile başlasa da veri sorumlusunun ticaret unvanı ile devam eden uzantıya sahip olduğu, veri sorumlusuna ait olan ve sadece iş amacı ile personele verilen e-posta adreslerinin Kanun kapsamında kişisel veri olmadığı,
  • İlgili kişinin, tek taraflı olarak iş akdini feshetmesi ile eş zamanlı olarak veri sorumlusu bünyesindeki on iki yıllık ticari işlem geçmişini içeren kurumsal e-posta hesabını da sildiği, ilgili kişinin bu hareketinin veri sorumlusu bünyesinde ciddi bir şüphe uyandırdığı, ilgili kişinin söz konusu silme eylemi üzerine işyeri ile ilgili pek çok müşteri verisi barındıran e-posta hesabının geri getirilmesi durumunda kalındığı,
  • Yapılan zorlu mücadelelerle e-posta hesabının geri kazanılması sonrasında oluşan şüphe üzerine ilgili kişinin sadakat yükümlülüğüne tamamen aykırı olarak haksız kazanç elde ettiği hususunun açık ve net şekilde tespit edildiği, geri getirme esnasında amaç ve hedefin ilgili kişinin şahsi verilerinin işlenmesi ya da alenileştirilmesi değil, ticari verilere ulaşmak olduğu, 
  • Yapılan işlemler esnasında, ilgili kişinin kendi rızasıyla ve bilinçli olarak kaydettiği şahsi nitelikli veri ve yazışmalarının da sunucudan diğer veriler ile birlikte otomatik olarak çekildiği, ilgili kişinin dilemesi halinde nişanlısı ile olan yazışmaları da dâhil olmak üzere özel yazışmalarını silip ticari yazışmaları gelen kutusunda bırakması mümkün iken bu yolu tercih etmeyerek tüm ticari geçmişi sildiği, bu nedenle özel veriler ihtiva eden bağımsız bir klasöre kaydedilmemiş olan ve ticari yazışmalar arasında dağınık halde bulunan verilerin kurumsal e-posta adresinin incelenmesi esnasında iş yazışmaları arasında tesadüfen elde edildiği, dolayısıyla söz konusu olayda ilgili kişinin kendi ihmali ve rızasının bulunduğu,
  • Kurumsal e-posta içeriklerinin ilgili kişi tarafından silinmesinin akabinde söz konusu e-posta hesabının geri getirilmesi üzerine tüm verilerin silinmesinin uyandırdığı şüpheye dayalı olarak işe yönelik olduğu düşünülen ve sadece işe yönelik yazışmaların yapılmasının gerektiği ilgili kişi tarafından da malum olan e-posta içeriklerinin, ticari ve itibari açıdan zarara uğrama ihtimali oluşan veri sorumlusunun tek şirket yetkilisi tarafından işveren sıfatı ile incelendiği,
  • İşyerinde ve iş saatlerinde söz konusu e-posta hesabı üzerinden özel yazışmaların yapıldığı, ilgili kişinin bu yazışmalarda yer alan verilerin olağan denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği, bu yüzden yapılacak yorumda ilgili kişinin söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiğinin kabul edileceği, zira söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu,
  • Şikâyete konu verilerin tamamına yakınının hâlihazırda ilgili kişi tarafından ikame olunan hizmet tespiti davasında bizzat ilgili kişi tarafından delil olarak sunulduğu ve alenileştirildiği, veri sorumlusu tarafından da bahse konu e-posta hesabındaki yazışmaların yalnızca iddia konusu olan zarar verici eylemlerin ispatı maksadı ile sınırlı ve ölçülü olmak kaydıyla ilgili Mahkemeye bildirildiği,
  • İşveren sıfatına sahip olunmayan dönemde veri sorumlusu tarafından verilerin işlendiği iddiasına ilişkin olarak; söz konusu verilere ilgili kişinin şüpheli davranışı üzerine erişildiği, burada ilgili kişinin temel haklarına yönelik müdahalenin meşru amaca dayalı olduğu, işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği, bununla birlikte bahsedilen tarihte iş sözleşmesinin haklı nedenle sona erip ermediğinin şu an için açılmış bulunan iş davasında ayrı bir ihtilaf konusu olduğu ve davanın henüz neticelendirilmediği,
  • Verilerin yurt dışına aktarıldığı iddiasına ilişkin olarak; şirketin verilerin muhafazası için Microsoft Office ile çalıştığı, aradaki iş ilişkisi dâhilinde Microsoft Office firmasınca geri getirilmiş olan verilerin yalnızca veri sorumlusunun şirket yetkilisiyle paylaşıldığı, başkaca bir aktarım veya verileri yayma durumunun olmadığı,
  • İlgili kişinin verilerinin yetkisiz kişi erişimine açıldığı iddiasına ilişkin olarak; taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde bu gibi bir iddianın mevcut olmadığı, dolayısıyla bu hususta Kanun kapsamında öncelikle kendilerine başvuru yapılması gerektiği, bununla birlikte söz konusu iddianın gerçeği yansıtmadığı, zira bahsi geçen verilere sadece veri sorumlusunun şirket yetkilisinin erişim sağladığı bu durumun veri sorumlusunun meşru hak ve menfaatlerinin korunmasının tabii bir sonucu olduğu

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun (Kurul) 25/11/2021 tarihli ve 2021/1187 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda öncelikle söz konusu tarihte ilgili kişi ile veri sorumlusu arasındaki iş akdinin feshedilmiş olup olmadığının değerlendirilmesi gerektiği ama söz konusu hususa ilişkin henüz verilmiş bir mahkeme kararının da bulunmadığının görüldüğü, 
  • Bununla birlikte, veri sorumlusunun, çalışanlarına tahsis etmiş olduğu e-posta adresinin Kanun kapsamında kişisel veri olmadığı iddiasının Kanun’un 3’üncü maddesi kapsamındaki “kişisel veri” tanımı karşısında geçerli olmadığı, zira yalnızca ilgili kişinin adı, soyadı gibi sadece kimliğini ortaya koyan bilgilerin değil e-posta adresi, özel yazışmaları, şahsi banka hesap dökümleri, harcama kayıtları gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin de kişisel veri niteliğini haiz olduğu,
  • Konu ile ilgili olarak; 17/09/2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi (AYM) Kararı ile;
    • …. Anayasa Mahkemesi daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamındaki uyuşmazlıklarda derece mahkemeleri tarafından devletin pozitif yükümlülükleri bağlamında çıkarların dengelenmesi ve müdahalenin ölçülülüğünün irdelenmesi kapsamında gözetilmesi gereken hususları genel olarak belirlemiş; buna göre somut olayın koşullarına göre iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiğitarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit etmiştir.
    • …Öncelikle somut olayda olduğu gibi teknolojik gelişmelerin imkanlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır.
    • …işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.
    • …devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde- aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir…

12.01.2021 tarihli ve 2018/31036 başvuru numaralı Anayasa Mahkemesi Kararı ile de;

  • …Tüm bu açıklamalar çerçevesinde devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti halinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.

… Öte yandan e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hallerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden
yararlandırılması gerektiği söylenebilir.

şeklindeki kriterlerin vurgulandığı,

  • Öte yandan, Avrupa İnsan Hakları Mahkemesinin (AİHM), Bărbulescu/Romanya Kararı’nda çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkelerin belirlendiği;  AİHM tarafından olay değerlendirilirken bir taraftan, çalışanın özel hayatına ve yazışmalarına saygı gösterilmesi hakkına sahip olduğunun, diğer taraftan şirketin düzgün işlemesi adına işvereninin de gerekli önlemler alma hakkına sahip olduğunun ifade edildiği, ancak ulusal mahkemelerin bu yarışan çıkarlar konusunda adil bir denge kuramadığının belirtildiği, AİHM tarafından, mesajlaşmaların izlenebileceği konusunda çalışanın işvereni tarafından önceden haberdar edilmediğinin tespit edildiği ayrıca başvurucunun, izlemenin niteliği ya da kapsamı özellikle de işverenin mesajlarının içeriğine erişebilme ihtimali hakkında bilgilendirilmediğinin vurgulandığı,  AİHM’e göre ulusal mahkemelerin, izleme tedbirlerini haklı gösterecek özel sebepleri tespit edemediği; ikinci olarak, çalışanın özel hayatına ve yazışmalarına daha az müdahale öngören tedbirlerin varlığının yeterince tartışılmadığı, üçüncü olarak ise mesajların içeriğine çalışanın ön bilgisi olmadan erişildiği, dolayısıyla, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen özel hayata saygı hakkının yeterince korunmadığına ve ihlal edildiğine karar verildiği,
  • AİHM tarafından özellikle işverenin, çalışanlarının iletişimlerini takip etmek için tedbirler alması durumunda, bu tedbirlerin istismarına karşı uygun ve yeterli önlemleri de sağlaması gerektiğinin vurgulandığı; bu noktada Mahkemenin çalışanların özel hayata saygı hakkı ve kişisel verilerinin korunması konusunda özellikle işverenlere rehber olacak kriterlerini;

i.    Çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılıp yapılmadığı,
ii.     İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi, bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi hususunun birbirinden farklı kavramlar olduğu,
iii.    İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işverenin meşru gerekçelere sahip olup olmadığı, özellikle iletişimin içeriğinin denetiminin daha net bir gerekçelendirme gerektirdiği,
iv.    Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirlerin bulunup bulunmadığı,
v.    Denetleme faaliyetinin sonuçları ve bu sonuçların işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı,
vi.    Özellikle işverenin izleme faaliyeti müdahaleci bir nitelikte olduğunda, çalışan yeterli koruyucu önlemlere sahip olup olmadığı, nitekim bu koruyucu önlemler dahilinde çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerektiği,

şeklinde belirttiği,

  • Sonuç olarak, AİHM’in çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğunu vurgulayan bir karar verdiği, AİHM’nin mezkûr kararının, işverenlerin çalışanlar üzerinde herhangi bir denetim mekanizmasından yoksun olduğunu göstermediği, ancak özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin Mahkeme tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiğinin ifade edildiği,
  • Bu kapsamda, konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önünde bulundurulduğunda, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
  • Diğer taraftan, ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasının uygun olacağı,
  • İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
  • İlgili kişinin, veri sorumlusunun, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu işlemlerin Kanun'un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği iddiasına ilişkin olarak; konunun Kanun’un 15’inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme kararı alınmasının uygun olacağı,
  • Veri sorumlusunun, “işyerinde iş saatlerinde söz konusu e-posta hesabı üzerinden özel nitelikli yazışmalar yapan ilgili kişinin, bu verilerin işverenin olağan denetim yükümlülüğü kapsamında erişimine açık olabileceğini pekala göz önünde bulunduracağı ve bu durumun söz konusu yazışmaları işleme ve kaydetme hususunda ilgili kişinin işverene açık rıza verdiği şeklinde yorumlanacağı, bu nedenle söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu” yönündeki savunmasına karşılık, ilgili kişinin “şirket e-posta hesabında, eski nişanlısına gönderdiği özel e-posta içeriği ve şahsi banka hesap özetinin bulunması nedeniyle herhangi bir alenileştirmeden bahsedilemeyeceği” yönündeki iddiasına ilişkin olarak kişisel verilerin alenileştirilmesi kavramına açıklık getirilmesinin faydalı olacağı, 
  • Kişisel Verileri Koruma Kurumu tarafından yayımlanan “6698 sayılı Kanunda Yer Alan Terimler” başlıklı rehberde “‘Herkes tarafından bilinir kılma’ anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.” şeklinde açıklanan “alenileştirme” kavramı ile ilgili olarak “Kişisel Verilerin İşlenme Şartları” başlıklı rehberde de “kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.” şeklindeki açıklamaya yer verildiği, 
  • Dolayısıyla, somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği

değerlendirmelerinden hareketle;

  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
  • İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
  • Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

11.11.2021: “Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 11/11/2021
Karar No : 2021/1153
Konu Özeti : Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin başvurusunda bulunması gereken zorunlu unsurların tamamının yer almadığı, gerekli bilgilerin bulunmaması sebebiyle kimlik doğrulaması yapılamadığı, her ne kadar usulüne uygun bir başvuru olmasa da hak ihlaline sebebiyet vermemek adına ilgili telefon numarasının mesaj gönderilmemesi amacıyla sistem üzerinden engellendiği ve talebine ilişkin olarak ilgili kişiye yanıt verilerek söz konusu işlemin hata ile ortaya çıktığının ve düzeltmelerin yapıldığının bildirildiği; ancak usulüne uygun olarak yapılmayan başvurudan kaynaklı şikâyet hakkının kullanılmasının mümkün olmadığı, 
  • Veri sorumlusu bünyesinde ilgili kişiye ait herhangi bir kayıt veya kişisel veri bulunmadığı, ilgili kişiye ait olduğu iddia edilen cep telefonu numarasının, veri sorumlusundan daha önce hizmet alan başka bir şahsın numarası olduğu ve bu cep telefonu numarasının reklam ve kampanya amaçlı bilgilendirme ve iletişim faaliyetlerinin yürütülebilmesi amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (1) numaralı fıkrasına uygun olarak açık rıza işleme şartı kapsamında işlendiği, bu kapsamda söz konusu numaraya bilgilendirme mesajları gönderilmesi hususunda hastaya yeterli bilgilendirmelerin yapıldığı ve kendisi ile iletişime geçilmesine yönelik ıslak imzalı dilekçe ile açık rızasının alındığı,
  • İlgili kişinin başvurusu üzerine bahse konu telefon numarasının, bilgileri kayıtlı olan hastanın iletişim bilgileri kısmından silinerek taraflarınca gerekli düzeltmelerin yapıldığı, ilgili kişiye de hatanın düzeltildiği yönünde bilgi verilerek bu tarihten sonra kendisine herhangi bir elektronik ileti gönderilmediği ve ilgili kişinin başka bir kişisel verisinin işlenmediği,
  • Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararına uygun şekilde SMS doğrulama sistemine geçildiği ve kimlik doğrulaması ile ilgili kişilerin kişisel verilerinin tespit edilerek buna uygun şekilde açık rızaları doğrultusunda kendilerine SMS gönderildiği; ancak ilgili kişinin telefon numarasının SMS doğrulama sisteminden önce yazılı ve ıslak imzalı bir açık rıza metni olması sebebi ile onayı olduğu varsayılarak sisteme eklendiği ve bu açık rızaya dayalı olarak mesaj iletildiği 

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/11/2021 tarihli ve 2021/1153 sayılı Kararı ile;

  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı, talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği, 
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuruya Cevap” başlıklı 6’ıncı maddesinin (1) numaralı fıkrasında veri sorumlusunun bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun ve (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceğinin veya gerekçesini açıklayarak reddedeceğinin düzenlendiği,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7’nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceğinin; (2) numaralı fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun; (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenlendiğinin hükme bağlandığı,
  • İlgili kişinin veri sorumlusuna ilettiği başvuru incelendiğinde ad, soyad, imza, adres ve iletişim bilgisine yer verildiği görüldüğünden ilgili kişinin veri sorumlusu nezdinde herhangi bir kaydı bulunmaması nedeniyle kimlik tespiti yapılamaması gibi bir durumun söz konusu olmayacağı, 
  • Kanun’un 13’üncü maddesi ile Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası hükümlerine istinaden veri sorumlusunun, ilgili kişinin başvurusunu gerekçesini açıklayarak reddetmemek suretiyle cevaplandırmış olduğu göz önünde bulundurulduğunda ilgili kişinin Kurula başvuru şartını yerine getirdiği ve usulüne uygun bir başvurunun Kurul tarafından incelemeye alındığı sonucuna varıldığı,
  • Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kuruma iletildiği, söz konusu belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiğinin ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığının anlaşıldığı,
  • Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varıldığı, 
  • Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğunun anlaşıldığı, 
  • Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediği sonucuna varıldığı 

değerlendirmelerinden hareketle; 

  • İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
  • Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına 

karar verilmiştir. 

04.11.2021: “Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması”
Karar Tarihi : 04/11/2021
Karar No : 2021/1127
Konu Özeti : Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Başkanlığı tarafından kişisel verileri ihtiva eden 40 sayfalık yazının Yükseköğretim Kurulu (YÖK) Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu Üniversite tarafından tüm Üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, söz konusu belgelerin veri sorumlusu Üniversite Rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek “GİZLİ” ibareli ve mevcut durumda dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Üniversitenin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • YÖK Başkanlığı Hukuk Müşavirliği tarafından gönderilen üst yazı ekinde sunulan TÜBİTAK Başkanlığının yazısında özetle, TÜBİTAK Araştırma ve Yayın Etiği Kurulu tarafından yapılan incelemeler sonucunda 15 hakemli derginin imtiyaz sahibi ve yayıncısı olan ilgili kişinin "haksız yazarlık" yaptığının tespit edildiği ve bu doğrultuda kendisine 5 yıl süre ile yaptırım uygulanacağı ve ilgili kişinin sahibi ve yazarı olduğu dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde bu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasına karar verildiğinin belirtildiği, 
  • Üniversite Rektörlüğü tarafından TÜBİTAK tarafından verilen yaptırım kararı uyarınca "yağmacı yayıncılık" açısından şüpheli bulunan ve akademik teşvik, atama ve yükseltmelerde kullanılması yasaklanan dergilerin Üniversitenin ilgili akademik aktörleri ile paylaşılmasına, bu şekilde YÖK tarafından paylaşılan ilgili yazının gereğinin yerine getirilmesine karar verildiği,
  • Ekinde TÜBİTAK Raporunu barındıran ilgili yazının öncelikle Üniversite içerisinde yalnızca fakülte dekanları ile kurum içi profesyonel haberleşme için kullanılan Elektronik Belge Yönetim Sistemi (EBYS) aracılığıyla paylaşıldığı, bunun dışında e-posta veya benzeri herhangi bir araç ile paylaşım yapılmadığı, söz konusu veri paylaşımının TÜBİTAK Araştırma ve Yayın Etiği Kurulu Kararının gereğinin yerine getirilmesi kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca hukuki yükümlülüğünün yerine getirilebilmesi için ilgili kişiye ait kişisel verilerin işlenmesinin zorunlu olması şartına ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca, akademik aktörlerin teşvik, atama ve yükseltme işlemlerinin tesis edilebilmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayanılarak gerçekleştirildiği, 
  • Devam eden süreçte, Üniversitede akademik çalışmalar yürütmekte olan öğrenciler ile akademik personelin, "yağmacı yayıncılık" şüphesi kapsamında kullanımı yasaklanan ilgili dergileri çalışmalarına esas alması halinde ilgili kişilerin ve/veya Üniversitenin yaşayabileceği mağduriyet riskleri göz önüne alınarak akademik aktörler tarafından sıkça takip edilen Üniversite internet sitesi üzerinde yayımlanmasına karar verildiği, ilgili verilerin internet sitesinde paylaşılmasında ise, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca gerek Üniversite gerek Üniversite bünyesindeki akademik aktörlerin hak kaybına uğramaması ve akademik çalışmaların mevzuata ve yetkili kurum kararlarına uygun yürütümünün sağlanması yönündeki meşru menfaatleri için veri paylaşımının zorunlu olması haline dayanıldığı, ilgili kişisel veri işleme şartı yönünden yapılan değerlendirmede ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşulunun da göz önüne alındığı, şikâyete konu olayın ulusal birçok gazete ve uluslararası platformda erişime açık birçok internet sitesinde yer alması ve kamuoyu tarafından bilinen bir olay olmasından ve paylaşılan bilgilendirmede bu olayı aşar nitelikte kişisel veri paylaşımına yer verilmediğinden hareketle ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek boyutta bir paylaşım olduğuna kanaat getirildiği, 
  • Veri işleme faaliyetinin TÜBİTAK Başkanlığı tarafından hazırlanan raporun Üniversite fakülte dekanlarıyla EBYS üzerinden paylaşılması ve internet sitesi üzerinden yayımlanması suretiyle gerçekleştirildiği, bu kapsamda ilgili kişiye ait ad-soyadı, unvan, adres bilgisi, imtiyaz sahibi yayıncısı ve/veya temsilcisi olduğu dergi bilgileri, akademik çalışma alanı bilgileri, taraf olduğu dosya ve soruşturma bilgileri, hakkındaki görüş yazıları ve hakkındaki komisyon görüşünün üçüncü kişiler ile paylaşıldığı,
  • İlgili kişinin Üniversite internet sitesi üzerinden yapılan paylaşıma ilişkin olarak yaptığı başvuru doğrultusunda konunun tekrar incelendiği ve olayın üzerinden geçen süreden ve akademik aktörlerin geçen süre zarfında bu konuda bilgilenmiş olmalarından hareketle ilgili kişinin talebinin yerine getirildiği, internet sitesi üzerinden yapılan paylaşımın kaldırıldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulu’nun 04/11/2021 tarihli ve 2021/1127 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Yine Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hükmüne, (2) numaralı fıkra gereğince ise kişisel verilerin işlenmesinde “Hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verildiği,
  •  “Kişisel Verilerin İşlenme Şartları” başlıklı Kanunun 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında da, veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
  • İlgili kişinin Kanun kapsamındaki haklarının 11’inci maddenin (1) numaralı fıkrasında düzenlendiği, buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahip dolduğu,

  • Öte yandan, akademik teşvik, atama ve yükseltmeler ve etik ihlaline ilişkin üniversiteler ve akademisyenler nezdinde dikkate alınması gereken yasal düzenlemeler incelendiğinde;
    • 12.06.2018 tarihli ve 30449 sayılı Resmi Gazete’de yayımlanan Öğretim Üyeliğine Yükseltilme ve Atanma Yönetmeliği’nin 12’nci maddesinin birinci fıkrasında, “Profesör kadrolarına atanabilmek için doçentlik unvanını aldıktan sonra en az beş yıl açık bulunan profesörlük kadrosu ile ilgili bilim alanında çalışmış olmak, kendi bilim alanında uluslararası düzeyde orijinal eserler vermiş olmak ve uygulama alanı bulunan dallarda uygulamaya yönelik çalışmalarda bulunması gereklidir.” hükmüne,
    • 18.02.1982 tarihli ve 17609 sayılı Resmi Gazete’de yayımlanan Üniversitelerde Akademik Teşkilat Yönetmeliği’nin 8’inci maddesinin (b) bendinin son paragrafında, “Dekan; fakültenin ve bağlı birimlerinin öğretim kapasitesinin rasyonel bir şekilde kullanılmasında ve geliştirilmesinde, gerektiği zaman güvenlik önlemlerinin alınmasıyla, öğrencilere gerekli sosyal hizmetlerin sağlanmasında, eğitim-öğretim, bilimsel araştırma ve yayın faaliyetlerinin düzenli bir şekilde yürütülmesinde, bütün faaliyetlerin gözetim ve denetiminin yapılmasında, takip ve kontrol edilmesinde ve sonuçlarının alınmasında Rektöre karşı birinci derecede sorumludur.” hükmüne,
    • 15.04.2018 tarihli ve 30392 sayılı Resmî Gazete’de yayımlanan Doçentlik Yönetmeliği’nin 6’ncı maddesinin birinci fıkrasında, “Doçentlik değerlendirme jürisi, adayın başvuru dosyasını ilk olarak bilimsel araştırma ve yayın etiğine aykırılık bulunup bulunmadığı ve asgari başvuru şartlarının sağlanıp sağlanmadığı yönünden değerlendirir…”hükmüne yer verildiği, 
  • İlgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının değerlendirilmesi neticesinde; ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin tevsik edici bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmış olup mevzuatın incelenmesi neticesinde, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle Kanun’a aykırılık teşkil etmediği,
  • İlgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına gönderilen yazıda, ilgili kişinin sahibi ve yazarı olduğu ekli listede isimleri verilen dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde söz konusu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasının ifade edildiği dikkate alındığında; fakülte dekanlarına ilgili belgenin gönderilmesine ilişkin incelenen ilgili mevzuat kapsamında, veri sorumlusunun savunmasında iddia ettiği üzere Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan meşru menfaat işleme şartı kapsamında değerlendirilememekle birlikte aynı fıkranın (e) bendine göre bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması şartına uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin mevcut olduğu kanaatine varılabileceği,
  • Ancak her ne kadar veri sorumlusu Üniversite tarafından ilgili kişiye ilişkin kişisel verileri içeren belge, Üniversitenin herkesin ilk aşamada ulaşabileceği tanıtım ve bilgi amaçlı kullanılan ve tüm ziyaretçilere açık olan adresten farklı olarak bilimsel çalışmalarda bulunan akademik aktörler tarafından proje geliştirme amacıyla kullanılan akademik kullanım amaçlı site üzerinden yayımlanmış ve veri sorumlusu tarafından ilgili kişinin başvurusu sonrası paylaşımın sehven yapıldığı belirtilmek suretiyle kaldırılmış olsa da yüksek lisans ve doktora öğrencileri ile akademik personeli bilgilendirme amacını aşacak şekilde, TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına “GİZLİ” olarak gönderilen belgede yer alan üçüncü kişilere ait kişisel verilerin, ilgili kişiye ait adres bilgisi, taraf olduğu soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü gibi kişisel verilerin tamamının veri sorumlusu tarafından Üniversiteye ait internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediği

değerlendirmelerinden hareketle;

  • Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
  • Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine 

karar verilmiştir.

02.11.2021: “İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1111
Konu Özeti : İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması

 

İlgili kişinin şikâyetinde özetle;

  • Veri sorumlusunun vekillik görevi üstlendiği işçilik alacakları davası kapsamında ilgili kişinin davalı tanığı olarak bilgi ve görgüsüne başvurulduğu,
  • Daha sonra veri sorumlusunca mahkemeye sunulan beyan dilekçesinde ilgili kişi ile ilgili olarak “Ayrıca … tanık … hakkında daha önceden çok sayıda memur olmayan kişinin resmî belgede sahteciliği suçundan dolayı ceza davaları açılmıştır. Bu davalarda son olarak ….. Ceza Mahkemesinde …. dosyada almış olduğu mahkûmiyet hükmü kesinleşmiştir.” ifadelerine yer verilmek suretiyle ceza mahkûmiyeti bilgisinin paylaşıldığı ve mahkemeden ilgili kişinin tanıklığına itibar edilmemesinin talep edildiği,
  • İlgili kişinin özel nitelikte kişisel verisi olan adli sicil kaydına ilişkin bilgilerin veri sorumlusu tarafından hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu,
  • Veri sorumlusunca dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmadığı, bu bilgilerin dosyanın esası bakımından bir faydasının da bulunmadığı, zira ilgili kişinin dosyada sadece tanıklık yaptığı,
  • Veri sorumluları tarafından kullanılan üçüncü kişilere ait kişisel verilerin amaçla bağlantılı ve ölçülü olması gerektiği, ancak ilgili kişiye ait özel nitelikli kişisel verilerin veri sorumlusunca kullanımının amaçla bağlantılı ve ölçülü olmadığı,
  • İlgili kişinin yıllar önce yaşamış olduğu ve cezasını çekmiş olduğu bir dosyanın tekrar gün yüzüne çıkmasıyla birlikte işverenine ve çalışma arkadaşlarına karşı rencide olduğu, küçük düştüğü ve bu olay neticesinde büyük bir üzüntü duyduğu, dolayısıyla da manevi olarak büyük bir kayıp yaşadığı ve psikolojisi ile sağlığının da olay nedeniyle bozulduğu, 
  • Konu hakkında veri sorumlusuna iletilen başvuru dilekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 11’inci ve 13’üncü maddeleri kapsamında bilgi talep edildiği, ancak veri sorumlusu tarafından bu başvuruya verilen cevapta başvuru dilekçesindeki hususlara ilişkin makul ve yeterli cevap verilmediği

hususları bildirilmiş olup; ilgili kişinin özel nitelikli kişisel verilerinin hukuka aykırı olarak ele geçirilmesi, bu verilerin ilgili kişinin onay ve rızası dışında beyan dilekçesinde mahkemeye sunulması suretiyle üçüncü kişilerle paylaşılması ve ilgili kişinin bu durumdan dolayı maddi ve manevi olarak yıpranması sebepleriyle veri sorumlusu hakkında 6698 sayılı Kanun uyarınca idari yaptırım uygulanması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin 6698 sayılı Kanun’a aykırılık iddialarının kabulünün mümkün olmadığı, zira ilgili kişinin mahkeme tarafından kendilerinin vekil olarak yer aldıkları bir duruşmada tanık olarak dinlendiği ve bu nedenle de T.C. kimlik numarası bilgilerinin duruşma tutanağında yer aldığı,
  • Dosyada vekil olarak yer almaları nedeniyle ilgili kişinin T.C. kimlik numarasına erişimlerinin zaten mevcut olduğu, adli sicil verilerinin de avukatlar tarafından adliye kanalıyla kolayca erişilebilen veriler olduğu, işleri gereği bu bilgilere erişimlerinin olmasının hayatın olağan akışına uygun olduğu, kaldı ki ilgili kişinin vekil oldukları dosyada tanık sıfatıyla yer alarak dosyanın akıbetini etkileyecek bir konuma sahip olduğu ve bu kapsamda ilgili kişi hakkında araştırma yapmalarının hukuka aykırılık teşkil etmediği, 
  • Adli sicil verilerinin her avukat tarafından ilgili kişinin T.C. kimlik numarası aracılığıyla öğrenilebilecek bir husus olduğu, 
  • Şikâyete konu beyan dilekçelerinde ilgili kişinin bilgilerine yer vermelerinin yargılama gereği taraflarına verilen tanık beyanlarına karşı beyanda bulunma yasal haklarının kullanılmış olmasının bir sonucu olduğu,
  • Dosya kapsamında tanık olarak dinlenmiş olan ilgili kişinin gerçeği yansıtmadığını düşündükleri beyanlarına itibar edilmemesi için taraflarınca kaleme alınan dilekçe ile iddialarının dayanağı olan bilgilerin mahkemece görülmesini sağlamayı amaçladıkları,
  • İlgili kişinin şikâyetinde ilgili kişinin tanık olarak dinlenmesi nedeniyle adli sicil bilgilerinin dosyanın esasına bir etkisinin olmayacağı belirtilmiş olsa da bu beyanın yargılamada elzem değeri olan tanık delilinin önemini hiçe saymak olduğu, tanıklık sıfatının yargılamanın her kolunda önemli bir yere sahip olduğu ve dosyanın muhteviyatına göre yargılamanın yönünü belirlediği, bu nedenle yargılamada tanık beyanlarına itimat edilmesi hususunda tanığın doğru ifade verdiğinden emin olunması gerektiği ve tanıklık yapan kişinin adli geçmişinin de vereceği beyanlar kapsamında önem arz ettiği,
  • 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında verilerin işlenmesindeki esaslara yer verildiği, vekil olarak görev yaptıkları dosyanın akıbeti hususunda mezkûr maddede geçtiği şekilde belirli, açık ve meşru olan amaçlarına uygun ve ölçülü olarak işleme faaliyetinde bulunulduğu, amaçlarının sadece mahkemenin tanık hakkında bilgilendirilmesi olduğu, 
  • İlgili kişinin adli sicil verilerinin taraflarınca hukuka aykırı şekilde elde edilmediği, aksine vekil olmaları dolayısıyla taraflarına açık olan bilgiler eşiğinde yine bir yargı organı vasıtasıyla elde edildiği, kaldı ki kişilerin adli sicil kayıtlarının UYAP vasıtasıyla hâkimler ve savcılar tarafından zaten ulaşılabilir veriler olduğu, dolayısıyla taraflarının mahkemeye bu bilgileri sunmasının 6698 sayılı Kanun’a aykırılık teşkil etmeyeceği,
  • Avukatlığın hem bir kamu hizmeti hem de serbest meslek olduğu, 1136 sayılı Avukatlık Kanunu’nun (Avukatlık Kanunu) 2’nci maddesinde mesleğin amacının “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” olarak açıklandığı, avukatların bu yolda görev yaparken çoğu kez belirsizliklerle karşılaştıkları ve bu belirsizlikleri kendi imkânlarıyla çözmek zorunda oldukları, 
  • Bu nedenle avukatların bir olayın aydınlatılması için çeşitli kurum ve kuruluşlardan zaman zaman bilgi almalarının gerektiği, kanun koyucunun da Avukatlık Kanunu’nun 2’nci maddesinde “Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır.” hükmüne yer verdiği ve bu hükmün avukatların mesleklerinin gereklerini yerine getirirken ihtiyaç duydukları bilgileri kendilerine sağlayabilecek kurumlara başvuru yapabilmelerine imkân sağladığı,
  • Şikâyet konusu olayda adliye kanalıyla ilgili kişinin adli sicil verilerine ulaşmış ve sonrasında da bunu ilgili mahkemeye bildirmiş olmalarının vekillik görevleri gereği yargı organlarından yararlanmaktan başka bir şey olmadığı, hâl böyleyken avukat olarak mahkemeye sundukları verilerin 6698 sayılı Kanun’a aykırı olduğunu öne sürmenin hakkaniyete uygun olmayacağı, zira bahsi geçen olayda Avukatlık Kanunu’ndan kaynaklanan bir yetkinin kullanılmasının söz konusu olduğu,
  • Meslekleri gereği kamu hizmeti yaptıkları da düşünülürse taraflarına kanunla sağlanan bir yetkinin kullanılması niteliğinde olan mevcut durumun ilgili kişi tarafından kötü niyetli olarak ve tamamıyla dürüstlük kurallarına aykırılık teşkil edecek şekilde kullanılıyor olmasının hukuk düzeni içerisinde kabul edilebilir olmadığı,
  • İlgili kişinin adli sicil kayıtlarının sadece beyan dilekçesi içerisinde mahkemeye sunulduğu, herhangi bir üçüncü kişiyle paylaşılmadığı, aynı zamanda ilgili kişiye ait başka herhangi bir kişisel veri veya bilginin de elde edilmemiş olduğu, 
  • Yukarıda yer alan tüm bilgiler ve kanun maddeleri doğrultusunda ilgili kişinin iddia ettiği üzere 6698 sayılı Kanun’a aykırı bir unsurun bulunmadığı

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 02/11/2021 tarihli ve 2021/1111 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altına alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusu tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, depolanması, kullanılması, aktarılması vb. fiillere konu edilmesinin “özel nitelikli kişisel verilerin işlenmesi faaliyeti” olarak niteleneceği ve bu tarz faaliyetlerin hem 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılarak ve Kurul tarafından belirlenen yeterli önlemler alınarak hem de 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun olarak yürütülmesi gerektiği konusunda herhangi bir şüphenin bulunmadığı,
  • Bu kapsamda, somut olayda ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusunca elde edilmesinin 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanıp dayanmadığının öncelikle ele alınması gerektiği, zira ilgili kişinin adli sicil kaydı verilerinin veri sorumlusunca 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılmadan elde edilmiş (ve sonrasında da kullanılmış/verilmiş) olması durumunda söz konusu fiillerin hukuka aykırı nitelikte birer veri işleme faaliyeti teşkil edeceği,
  • Dosyaya sunulan bilgi ve belgelerden; ilgili kişinin adli sicil verilerinin işlenebilmesi için veri sorumlusuna vermiş olduğu bir açık rızanın bulunmadığının görüldüğü, veri sorumlusunun “ilgili kişinin adli sicil kaydı bilgilerinin Avukatlık Kanunu’na uygun olarak adliyeden temin edildiği, taraflarınca yapılan iş ve işlemlerde herhangi bir hukuka aykırılık bulunmadığı” yönündeki savunmasından ise ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında düzenlenen “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” düzenlemesine dayanıldığının anlaşıldığı, bu yüzden de veri sorumlusunun savunmasında zikrettiği Avukatlık Kanunu’nun 2’nci maddesi hükmünün 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında geçen “kanunlarda öngörülen haller”in kapsamına girip girmediğinin açıklığa kavuşturulması gerektiği,
  • Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. (…) Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. (…)” ifadelerinin yer aldığı, 
  • 5352 sayılı Adlî Sicil Kanunu'nun (“Adlî Sicil Kanunu”) “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 7'nci maddesinde ise “(1) Adlî sicil bilgileri, kullanılış amacı belirtilmek suretiyle; a) İlgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, b) Kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına, verilebilir. (2) Yabancı devletler tarafından istenilen adlî sicil bilgileri mütekabiliyet esasına göre verilir.” düzenlemesinin mevcut olduğu, ayrıca Adlî Sicil Kanunu’nun 15’inci maddesine dayanılarak çıkarılan Adlî Sicil Yönetmeliği’nin “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 9’uncu maddesinde de “Adlî sicil bilgileri, kullanılış amacı ve verileceği merci belirtilmek suretiyle; ilgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına verilebilir. Taleplerin yazılı olarak yapılması sırasında, adlî sicil bilgisinin niçin istendiğinin belirtilmesi ve nüfus kimlik bilgilerini içeren belgenin dilekçeye eklenmesi; kamu kurum ve kuruluşları ile kamu kurumu niteliğinde meslek kuruluşlarınca da kimlik bilgilerinin tereddüde yer vermeyecek şekilde bildirilmesi zorunludur. (…)” denildiği,
  • Mezkûr mevzuat hükümlerinin lafızlarına istinaden, Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde mevcut olan “özel hüküm” karşısında bir “genel hüküm” niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşıldığı,
  • İlgili kişinin -veri sorumlusu tarafından yürütülmüş olan kişisel veri işleme faaliyetlerine konu olan- özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm kişisel veri işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale getirdiği, zira hukuka uygun olmayan bir şeyin üzerine meşru bir şeyin bina edilemeyeceği konusunda herhangi bir şüphenin bulunmadığı

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla; ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından ilgili kişi hakkında başlangıçtan itibaren hukuka aykırı nitelikte kişisel veri işleme faaliyetinde bulunulduğu kanaatine ulaşıldığından, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Söz konusu verinin paylaşılmasının 5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

02.11.2021: “Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1110
Konu Özeti : Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması

 

Kuruma intikal eden ihbarda özetle, bir holding bünyesinde faaliyet gösteren veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı, bu işlemi yaparken amaçlarının internet adresini verdikleri şahısların burada yazan yakalama kararı olan araçları bulmaları halinde 155 ihbarı yaparak bu araçların yakalatılmasının ve trafikten men edilmesinin sağlanması olduğu ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmektedir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin Kanun’un 11 ve 14’üncü maddeleri uyarınca veri sorumlusuna başvuruda bulunmadığı, ilgili kişinin herhangi bir kişisel verisi işlenmediğinden hukuken başvuru için aranan ilgili kişi maddi unsurunun mevcut olmadığı, ilgili kişiye şirketleri tarafından herhangi bir araç satışının yapılmadığı, ilgili kişinin muhafaza edilen şirket bilgilerine erişebilecek imkâna sahip olmadığı,
  • Şirketlerinin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde şirketlerince hukuki yollara başvurularak icra takibi başlatıldığı, müşteriler adına kayıtlı araçlarda haciz ve yakalama işlemlerinin icra müdürlüğü tarafından yapıldığı, yakalanan araçların icra mevzuatı gereğince Yediemin otoparklarına çekildiği, Yedieminlerin otoparka çekilen araçlarda icra dosyası alacaklısını görerek şirketlerine haber verdiği, bunun dışında hiçbir Yediemin ya da üçüncü kişilerle müşterilerinin icra borcu bilgisinin paylaşılmadığı,
  • İlgili kişinin belirttiği internet adresi incelendiğinde böyle bir adresin sunucularında mevcut olmadığı ve internet adresinde ilgili kişinin iddialarını ispat edici bir içeriğin mevcut olmaması sebebiyle başvurunun reddinin gerektiği, müşterilere ait kişisel verilerin dijital güvenli bir sunucu ortamında aktarıldığı ve şirket sistemi içinde sadece yetkilendirilmiş kullanıcı adı ve şifresiyle giriş yapan personeller tarafından sorgulama yapılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1110 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)     Hukuka ve dürüstlük kurallarına uygun olma,
b)     Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ihbar dilekçesinin Kurula Cumhurbaşkanlığı İletişim Merkezi (CİMER) üzerinden intikal ettiği, ilgili kişinin dilekçesinde kendisine ait herhangi bir verinin bu internet adresinde paylaşıldığını ya da başka bir suretle işlendiğini iddia etmediği, Kanun’un 15’inci maddesinin birinci fıkrasında yer alan “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü gereğince Kurulun şikayet veya ihbar üzerine inceleme yapabileceği gibi şikayet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, bir veri ihlali iddiasıyla ilgili olarak Kurulun harekete geçmesi için ihlalden etkilenen ilgili kişilerin Kurula şikayet başvurusunda bulunmasının gerekmediği göz önünde bulundurulduğunda CİMER üzerinden iletilen dilekçenin ihbar niteliğinde kabul edilerek Kurulun konu hakkında inceleme başlatılmasına karar verdiği,
  • İncelemeye konu internet adresinin veri sorumlusuna Kurum tarafından bilgi ve belge talebi gönderilmesinden önce incelenmesi neticesinde, internet adresinde ilgili kişilerin isimleri, T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı ve bu bilgiler arasında araç plakası, şehir ve ilçeye göre arama yapılabildiğinin tespit edildiği, Kurum tarafından gönderilen bilgi ve belge talebi yazısı veri sorumlusuna tebliğ edildikten sonra söz konusu internet adresine ulaşılmaya çalışıldığında ise siteye ulaşılamadığı uyarısı alındığı, 
  • Veri sorumlusu tarafından İcra ve İflas Kanunu hükümleri çerçevesinde borçlu müşterilerden alacağını tahsil etmek için icra takibi başlatılması, malvarlığı sorgulaması sonucu haciz konulması için kişisel veri işlenmesi Kanun’un 5’inci maddesinin ikinci fıkrasının (a) ve (e) bentlerinde düzenlenen kanunlarda açıkça öngörülme ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebeplerine dayanabilirse de bu verilerin herkesin erişimine açık internet ortamında veri sorumlusu tarafından yayımlanmasının herhangi bir veri işleme şartına dayanmadan yapılan hukuka aykırı bir veri işleme faaliyeti olduğu

değerlendirmelerinden hareketle,

  • Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
02.11.2021: “İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1107
Konu Özeti : İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • İlgili kişinin bahsettiği tarihte başvurusunun bulunmadığı fakat başka bir tarihte kendilerine e-posta üzerinden bir şikâyet ilettiği ve aynı tarihte kendisi ile telefonla irtibata geçildiği fakat ilgili kişinin aramaları yanıtlamaması nedeniyle kendisine e-posta ile bilgi verilerek görüşme talebinde bulunulduğu ancak Banka tarafından iletilen e-postaya ilgili kişiden herhangi bir yanıt alınamadığı ancak aynı konulu başka tarihteki şikâyetlerinin Banka Genel Müdürlüğüne iletilerek başka bir tarihte yanıtlandığı,
  • Banka ile kurumlar arasında imzalanan protokoller kapsamında kurumların fatura tahsilatlarına aracılık hizmetinin verildiği ve bu kapsamda ilgili kişinin imzalamış olduğu Bankacılık Hizmetleri Sözleşmesi çerçevesinde verdiği fatura ödeme talimatlarının yerine getirilebilmesi amacıyla fatura ödeme talimatı verilen kurumlarla müşteri işlem; Banka nezdinde kredi ürünlerine ilişkin olarak bankacılık sektörüne yönelik yasal düzenlemelere uyumun sağlanması, Bankanın risk izleme ve bilgilendirme yükümlülüklerinin yerine getirilmesi amacıyla Türkiye Bankalar Birliği Risk Merkezine kimlik, iletişim, müşteri işlem; Banka’nın acentesi olduğu …Sigorta A.Ş. nezdindeki sigorta poliçelerinin prim ödemeleri ile ilgili olarak söz konusu Şirkete müşteri işlem; ilgili kişinin yasal takipte izlenen kredilerinden kaynaklanan Bankanın alacaklarının tahsili amacıyla anlaşmalı hukuk bürosuna kimlik, iletişim, müşteri işlem, hukuki işlem bilgilerine ilişkin olarak her bir konu özelinde, ilgili amacın gerçekleştirilmesiyle kısıtlı olacak şekilde veri aktarımının gerçekleştirildiği,
  • İlgili kişinin yurt dışına aktarılan kişisel verisinin bulunmadığı,
  • 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun Geçici 28’inci maddesinde Türkiye Cumhuriyet Merkez Bankası nezdinde izlenen risk verilerinin 5411 sayılı Kanun’a göre kurulmuş olan Risk Merkezine aktarılmasının düzenlendiği, aynı Kanun’un Ek 1’inci maddesinde ise; “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.” düzenlemesinin yer aldığı, anılan hükümler ve Türkiye Bankalar Birliği tarafından yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği ile üye bankaların Risk Merkezine bilgi paylaşımının kapsamı, biçimi ve içeriği ile tarafların yükümlülüklerinin düzenlendiği,
  • İlgili kişinin talebi üzerine yapılan incelemede gerçek kişi tacir ilgili kişinin bireysel kredi kartı geri ödemelerinde gecikme olmamasına karşın ticari nitelikli kredi kartından kaynaklanan gecikme nedeniyle gecikme bildiriminin yapıldığının anlaşıldığı,
  • Bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği, çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği,
  • Güncelleme işlemlerinin Türkiye Bankalar Birliği Risk Merkezine ait portal üzerinden, kullanıcı ve onaylayıcı olarak yetkilendirilmiş Banka çalışanlarının Bankanın sistemindeki güvenlik kontrollerine uygun şekilde giriş yapması sonrasında gerçekleştirilebildiği, Portaldaki “Acil Güncelleme Sistemi”ne müşteri T.C. kimlik numarası bilgisinin girilerek gerekli düzeltmenin yapıldığı ve yetkilendirilmiş kullanıcının onayıyla sürecin tamamlandığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1107 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinde; kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılamayacağının, özel nitelikli olmayan kişisel verilerin ancak Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde, özel nitelikli kişisel verilerin ise yeterli önlemler alınmak kaydıyla 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • 5411 sayılı Kanun’un Geçici 28’inci maddesinin üçüncü fıkrasında; “Merkez Bankası nezdindeki Risk Merkezi bilgileri, bu Kanuna göre kurulan Risk Merkezine aktarılır.” hükmü ile aynı Kanun’un Ek 1’inci maddesinde; Risk Merkezine ilişkin ayrıntılı düzenlemelere yer verildiği, ilgili hükmün birinci fıkrası uyarınca Risk Merkezinin; Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere kurulmuş olduğu, bu maddenin ikinci fıkrası gereğince; kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların, Risk Merkezine üye olmak zorunda olduğu ve üye kuruluşların, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğunun düzenlendiği, bu açıklamalarda bahsi geçen kredi kuruluşlarının; 5411 sayılı Kanun’un 3’üncü maddesinde, mevduat bankaları ve katılım bankaları olarak açıklandığı,
  • 10/04/2012 tarihli ve 28260 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Türkiye Bankalar Birliği Risk Merkezi Yönetmeliğinin (Risk Merkezi Yönetmeliği) 9’uncu maddesi gereğince; Risk Merkezine üye olanlar tarafından Risk Merkezine müşteri ve/veya hesap bazında değişiklikler göstermekle birlikte, kredi limiti, kredi riski, donuk alacak niteliğindeki kredi ve diğer alacaklar, çekler ve çek hesabı sahibinin bilgileri vb. ile Risk Merkezi Yönetimi tarafından Risk Merkezinin kuruluş amaçları doğrultusunda belirlenen diğer bilgilerin bildirildiği,
  • Risk Merkezi Yönetmeliğinin 10’uncu maddesinin birinci fıkrası uyarınca ise; kredi limiti ve kredi riski bilgilerinin müşteri bazında birleştirilerek bu müşteriler hakkında bildirimde bulunan üyelere bildirim dönemi itibariyle topluca bildirildiği, yine aynı Yönetmeliğin 17’nci maddesinin birinci fıkrasının (a) bendinde; Risk Merkezine üye olanların, Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak vermekle sorumlu olduklarının düzenlendiği,
  • Somut olayda veri sorumlusunun, banka niteliğini haiz olmakla birlikte 5411 sayılı Kanun’un Ek 1’inci maddesi uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu ve gerek 5411 sayılı Kanun gerekse Risk Merkezi Yönetmeliği gereğince; Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, bu kapsamda ilgili kişiye ait finans verilerinin veri sorumlusu tarafından Risk Merkezine bildirilmesinin Kanun’un 8’inci maddesi anlamında aktarım anlamına gelmekte olduğu ve söz konusu aktarım faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından birine dayanması gerektiği,
  • Bu çerçevede, 5411 sayılı Kanun ile Risk Merkezi Yönetmeliği hükümleri kapsamında veri sorumlusunun söz konusu kişisel veri aktarım faaliyetini gerçekleştirmesi gerektiği, dolayısıyla veri sorumlusunun ilgili kişinin finans verilerini Risk Merkezine bildirmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” ile (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında olduğu,
  • Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesi uyarınca, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu, 
  • Bu ilkelerden “Doğru ve gerektiğinde güncel olma” ilkesinin, Kanun’un 11 inci maddesinde düzenleme altına alınan ve ilgili kişinin haklarından biri olan kişisel verilerin düzeltilmesini talep etme hakkı ile doğrudan ilgili olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerli olduğu (örneğin kredi verme işlemleri),
  • Somut olay bakımından, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından, veri sorumlusu Banka’nın aktif özen yükümlülüğü altında olduğu, zira, kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemler bakımından banka hesap bilgilerinin güncelliğinin önem arz ettiği, 
  • Söz konusu verilerin yalnızca veri sorumlusu bünyesinde tutulmadığı ve pek çok kredi ve finans kuruluşunun erişebildiği Risk Merkezine de aktarıldığı, bununla birlikte, veri sorumlusu Banka’nın, Risk Merkezi Yönetmeliğinin 17’nci maddesinin birinci fıkrasının (a) bendi gereğince de; Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak verme sorumluluğu bulunduğu,
  • Öte yandan, Kanun’un “İlgili kişinin hakları” başlıklı 11’inci maddesi uyarınca; herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11 inci maddenin birinci fıkrasının (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğu ve bu kapsamda ilgili kişilerin, kişisel verilerinin eksik veya yanlış işlenmesi halinde, bunların düzeltilmesini talep etme hakkının bulunduğu,
  • Somut olay bakımından, Kuruma intikal eden belgeler incelendiğinde, veri sorumlusu Banka tarafından ilgili kişiye cevap verildiği ancak konuyu aydınlatacak ve ilgili kişinin şikâyetini çözümleyecek derecede yeterli bir cevap verilmediği,
  •  Zira ilgili kişinin farklı zamanlarda veri sorumlusu ile e-posta yoluyla iletişime geçerek Risk Merkezine yanlış aktarılan finans verilerinin düzeltilmesini tekraren talep ettiğinin görüldüğü,
  • İlgili kişi tarafından veri sorumlusuna iletilen, sair tarihlerdeki e-postaların tamamının aynı konuya ilişkin olduğu, veri sorumlusu tarafından bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği ve çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği belirtilmiş olup, yazının farklı birçok tarihe ilişkin “Acil Güncelleme Sistemi” ekran görüntülerine yer verildiğinin görüldüğü,
  • Söz konusu ekran görüntüleri incelendiğinde; ilgili kişiye ait hesap kaydı detaylarının revize edildiği, veri sorumlusundan alınan yazıda bahsedilen sistem geliştirmelerinin tamamlandığı, yapılan geliştirmenin sonuçlarının titizlikle izlendiği ve bu süreçte, ilgili kişiye ilişkin Risk Merkezi bildirimlerinde düzeltme gerektiren bir hususa rastlanmadığı ve yapılan geliştirmenin başarılı olarak sonuçlandığının teyit edildiğinin belirtildiği, bu kapsamda veri sorumlusu tarafından ilgili kişinin Risk Merkezine yanlış aktarılan kişisel verilerinin düzeltilmesi talebinin veri sorumlusu tarafından yerine getirildiği,
  • Öte yandan, her ne kadar ilgili kişinin yanlış işlenen kişisel verileri veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda düzeltilmiş olsa da başlangıçta gerçeğe aykırı olarak işlenen ve Risk Merkezine aktarılan kişisel veriler bakımından hukuka aykırı bir kişisel veri işleme faaliyetinin gerçekleştirildiği, veri sorumlusu tarafından gerek manuel düzeltmeler yapılması gerek sistemsel iyileştirmelere gidilmesi suretiyle ilgili kişinin talebi yerine getirilmiş olsa dahi, ilgili kişinin veri sorumlusunun bir dönem Kredi Kayıt Bürosuna yaptığı hatalı raporlamalar suretiyle kişisel verilerinin yanlış işlendiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek üzere gerekli idari ve teknik tedbirleri almadığının anlaşıldığı,
  • Zira, Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere bütün kişisel veri işleme faaliyetleri bakımından riayet edilmesi gerekmekle birlikte, somut olay bakımından veri sorumlusunun işlediği kişisel verilerin doğru ve güncel tutulması bakımından aktif özen yükümlülüğünün bulunduğu,
  • Bir kişisel veri işleme faaliyetinin hukuka uygunluk arz edebilmesi için gerek Kanun’un 5’inci ve 6’ncı maddesindeki işleme şartlarından birinin varlığı gerek Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygunluğun sağlanması gerektiği, somut olay bakımından da, veri sorumlusu tarafından yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı

değerlendirmelerinden hareketle,

  •  İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında;
    • Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması, 
    • Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi, 
    • Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
    • Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi 

hususları da göz önünde bulundurularak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir. 

02.11.2021: “Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/11/2021
Karar No : 2021/1104
Konu Özeti : Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;  verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal ettirilen cevabi yazıda özetle;

  • Banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı, ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 03.08.2019 tarihinde kapatıldığı, 
  • İlgili kişinin Banka nezdinde demografik bilgilerinin (ad, soyadı, T.C. kimlik no, baba adı, anne adı, doğum tarihi, cinsiyet, doğum, doğum ülkesi, yerleşik ülke, vergi kimlik numarası, öğrenim bilgisi, medeni durum), meslek bilgisinin, anne kızlık soyadının, iletişim adreslerinin (telefon, cep telefonu, adres, e-posta), hesap numarası/IBAN bilgisi, banka tarafından üretilen müşteri numarası, kredi kartı müşterisi olması sebebiyle kredi kartı numarası gibi kişisel verilerinin işlendiği, 
  • •    İlgili kişinin Bankadan almış olduğu ürün ve hizmetler nedeniyle kurduğu ilişki kapsamında; Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan; kanunlarda açıkça öngörülmesi, Banka ile imzalanan sözleşme veya bu sözleşmenin yerine getirilmesiyle doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın oluşması, kullanılması veya korunması için veri işlemenin zorunlu olması ve aynı maddede düzenlenen müşterilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Bankanın meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle; özel nitelikli kişisel veriler için ise Kanun'un 6’ncı maddesinin (2) numaralı fıkrasına göre müşterilerin açık rızasının bulunması hukuki sebepleriyle kişisel verilerinin işlendiği,
  • İlgili kişinin 06.01.2020 tarihinde Banka’ya başvurarak, Banka’nın kredi kartı müşterisi olduğu, kredi kaydını kapattırması sebebi ile Banka nezdindeki tüm kişisel verilerinin silinmesini talep ettiği,
  • 6102 sayılı Türk Ticaret Kanunu'nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu'nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı, 
  • Banka nezdinde muhafaza edilen müşteri bilgilerine ilişkin 10 yıllık saklama süresinin henüz dolmadığı dikkate alınarak ilgili kişinin kişisel verilerinin silinmesi talebine olumlu yanıt verilemediği ancak kişisel verilerin ikincil amaçlarla işlenmemesi adına Banka nezdinde gerekli adımların atıldığı,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4’üncü maddesinde yer verilen genel ilkelere uygun olarak kişisel verilerin saklama amacı dışında işlenmemesi için gerekli tedbirlerin alındığı, ilgili kişinin ticari elektronik ileti gönderilmesine ilişkin tüm tercihlerinin hiçbir kanaldan ulaşılmaması yönünde güncellendiği, verilerinin saklanması için gerekli hukuki sebep haricinde pazarlama gibi ikincil amaçlarla işlenmemesinin sağlanacağı yönünde ilgili kişiye cevap verildiği, 
  • İçişleri Bakanlığı'nın ve İl Hıfzıssıhha Kurullarının, Umumi Hıfzıssıhha Kanunu hükümleri doğrultusunda ve Banka’nın uymakla zorunlu olduğu tedbirler kapsamında özellikle pandeminin ülkemizde görüldüğü ilk aylardan itibaren sokağa çıkma yasağı kısıtlaması bulunan illerdeki Banka şubelerinin çalışma gün ve saatleri, genel olarak tüm şubelerinin çalışma saatleri, salgının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin geçmişte Bankadan hizmet almış eski müşterileri olmak üzere tüm müşterilerine duyurulması ve bu konuda bilgilendirme yapma ihtiyacının hasıl olduğu,
  • Bu gerekçelerle ilgili kişi müşterinin Banka’da kayıtlı telefon numarasına koronavirüs salgınının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin duyurulduğu birtakım bilgilendirme SMS'lerinin gönderildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’e uygun olarak, Banka nezdinde yapılan zorunlu iletişim konularının; “ Ürün ve hizmetlerimize ilişkin değişiklik ve kullanıma yönelik iletiler, devam eden ürün ve hizmetlerle ilgili tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler, ilgili mevzuata göre bilgi verme yükümlülüğümüz bulunan durumlar” şeklinde tanımlandığı,
  • Bankanın hukuken bilgi verme yükümlülüğünün bulunduğu durumlarda önceden onay alma zorunluluğunun bulunmadığı ve ilgili mevzuatta öngörülen bu durumlarda ilgili kişilerin de ret hakkını kullanamayacağının yukarıda sözü edilen Yönetmeliğin 9’uncu maddesinin 1’inci fıkrasında tekraren vurgulandığı, söz konusu hükme göre ilgili kişinin reddetme hakkını kullanmış olmasının hizmet sağlayıcı olarak Banka’nın tabi olduğu ilgili mevzuat hükümlerine göre alıcı sıfatını taşıyan kişilere gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmediği,
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen kanunlarda açıkça öngörülmesi ve (ç) bendinde düzenlenen Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerinin ilgili kişilerin açık rızası olmadan kişisel verilerinin işlenebileceği durumları düzenlediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1104 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Kanun’un 5’inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanun’un 4’üncü maddesinde yer alan ilkelere de uygun hareket edilmesi gerektiği, aksi halde, kişisel verilerin işlenmesine ilişkin hukuki şartlar geçerli olsa dahi hukuka aykırı veri işleme durumunun söz konusu olacağı,
  • Veri sorumlusunun, toplanan kişisel verilerin işlenme amacını açık ve kesin olarak belirlemesi ve ilgili kişiye belirtilen amaçlar dışında başka amaçlarla kişisel verileri işlememesi gerektiği, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması ve yine bu ilke uyarınca amaç için gerekli olan süreye uygun olarak da muhafaza edilmesi gerektiği, Kişisel Verilerin Korunması Kanunu’nun gerekçesinde “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı,
  • Şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip Covid 19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü,
  • İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
  • Kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından birine dayanılması gerektiği ancak somut olayda bilgilendirme içerikli mesajların iletilmesi suretiyle ilgili kişinin kişisel verisinin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı, öte yandan işlemenin Kanun’un 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna da aykırı olduğu dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı,
  • Diğer taraftan, 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesinde; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlandığı,
  • 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesine dayanılarak hazırlanan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesinin (1) numaralı fıkrasında ise “Bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dahil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmünün yer aldığı,
  • Dolayısıyla veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
  • Öte yandan veri sorumlusunun sunduğu belgeler ile 5411 sayılı Kanun’un 42’nci maddesinde belirtilen 10 yıl saklama süresi hükmü ve 6698 sayılı Kanun’un 4’üncü maddesinde belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

21.10.2021: “Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 21/10/2021
Karar No : 2021/1069
Konu Özeti : Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; borçlu yakını olarak bir Banka avukatınca kendisine İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında gönderilen haciz ihbarnamesi ile kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını tespit ettiği ve bu konuya ilişkin olarak hem Banka’ya hem de Banka avukatına başvurulduğu belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hem Banka’nın hem Banka Avukatının savunması talep edilmiş olup Banka tarafından Kuruma intikal eden cevabi yazıda özetle;

  • Banka’nın alacağını tahsil etmek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak yasal takip ve diğer hukuki işlemler için gerekli kişisel verileri işlediği,
  • Söz konusu kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri uyarınca kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerine dayanılarak Banka’nın sözleşmeli avukatına aktarıldığı,
  • Gerek ilgili kişi gerek birinci haciz ihbarnamesi gönderilen üçüncü kişilere ait hiçbir kişisel verinin Banka tarafından paylaşılmadığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin düzenlendiği, birinci haciz ihbarnamesinin alacaklı vekilinin bildirdiği kişilere İcra Müdürlüklerince gönderildiği,
  • Düzenlenen ve gönderilen birinci haciz ihbarnamesinin İcra Müdürlüğü tarafından bizzat düzenlendiği ve gönderildiği, bankanın sözleşmeli avukatının ihbarnameye müdahale imkânı olmadığı, ihbarnamenin elektronik imzalandığı, Banka’nın şikayet konusu hususta herhangi bir sorumluluğunun bulunmadığı,
  • İlgili kişinin ürün ve hizmetleri kullanması nedeniyle başvurusu sırasında elde edilen kimlik bilgileri, iletişim bilgileri, finans bilgileri, müşteri işlem bilgileri kategorisindeki kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması hukuki sebebine dayalı olarak başvurulan ürün ve hizmetleri (vadesiz TL, ATM kartı, fastpay, internet/mobil bankacılığı yetkisi, sigorta, maaş ödemesi, fatura ödemesi, EFT işlemleri) sunabilmek amacıyla işlendiği,
  • Müşteriye sunulan aydınlatma metninde kişisel verilerin hangi amaç ve sebeplerle işlendiğinin belirtildiği 

ifade edilmiştir.

Bankanın avukatı tarafından Kuruma intikal eden cevabi yazıda ise özetle;

  • Borçlunun borcunu ödememesi sebebiyle kendisine ihbarname gönderildiği, ihbarnameye rağmen borcun ödenmemesi üzerine müvekkili Banka’nın alacağını tahsil amacıyla borçlu hakkında icra takibi başlatıldığı, borcun ödenmemesi üzerine icra müdürlüğünden haciz işlemlerinin başlatılması için talepte bulunulduğu, ancak yapılan sorgular neticesinde borçlunun SGK, araç ve tapu kaydının pasif olduğunun tespit edildiği,
  • Borçlunun üçüncü şahıslarda olan alacaklarının haczi için bankalara İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderildiği ve bankalardan olumsuz cevapların geldiği,
  • Menkul malların haczedilmesi için borçlunun adresine hacze gidildiği ancak adresten ayrıldığının tespit edildiği,
  • Menkul haczinden sonra borçlunun MERNİS kaydını düşürdüğü ve şu anda MERNİS adresinin bulunmadığının UYAP sorgu sonucuyla sabit olduğu,
  • Diğer tüm girişimlerin olumsuz çıkması sonucunda, müvekkilinin alacağının tahsili amacıyla borçlunun hak ve alacaklarının haczi için yapılan rutin işlemler arasında yer alan üçüncü kişilere haciz ihbarnamesi gönderilmesinin İcra Müdürlüğü'nden talep edildiği,
  • Bu talebin hukuki gerekçesinin, para alış verişlerinin aile bireyleri arasında çok sık rastlanılması ve ayrıca rızai miras sözleşmelerine çok sık rastlanılmasından kaynaklandığı,
  • İcra müdürlüğü tarafından talebin uygun görülerek üçüncü kişilere İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi hazırlandığı ve gönderildiği,
  • Haciz müzekkeresi icra müdürlüğü tarafından, matbu şablon müzekkere örneği üzerinden hazırlanmış olduğundan üçüncü kişilerin tamamına aynı müzekkere içerisinde haciz ihbarnamesi gönderildiği,
  • Yapılan işlemlerin tamamında İcra Müdürlüğünün karar ve onayı olduğu,
  • İcra müdürlüğünce hazırlanan haciz ihbarnamesinin, üçüncü kişilere Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kanunlarda açıkça öngörülme şartına uygun olarak gönderildiği,
  • İcra Müdürlüğü tarafından hazırlanıp gönderilen haciz ihbarnamesi haricinde üçüncü kişiler hakkında başka bir işlem yapılmadığı, bu nedenle kişisel verilerin işlenmesi gibi bir durumun söz konusu olmadığı ve müştekinin icra dosyasında taraf olarak yer almadığı için kişisel verilerin depo edilmesi gibi bir durumun da oluşmadığı
  • İlgili kişi tarafından İcra Müdürlüğünce gönderilen haciz ihbarnamesine cevaben borçlunun kendisinde herhangi bir alacağı bulunmadığına ilişkin beyan dilekçesinin icra dosyasına sunulduğu, bu cevaba istinaden haciz ihbarnamesinin fekki için talepte bulunulduğu ve İcra Müdürlüğünce fek müzekkeresi hazırlanarak üçüncü kişilere tebliğ edildiği, bu nedenle kişisel verilerin saklanması, imha edilmemesi gibi bir durumun söz konusu olmadığı ve hiçbir kişisel verinin saklanmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/10/2021 tarih ve 2021/1069 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kişisel verilerin hangi amaç ve vasıtayla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu tanımından hareketle somut olayda İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında düzenlenen haciz ihbarnamesinde yer alan üçüncü kişilerin alacaklı vekili tarafından icra müdürlüğüne bildirilmesi nedeniyle veri sorumlusunun Banka Avukatı olduğunun görüldüğü,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde “ (1) Hamiline ait olmıyan veya cirosu kabil bir senetle müstenit bulunmıyan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödiyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4’üncü fıkra hükümleri de üçüncü şahsa bildirilir. (2) Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. ” hükmünün yer aldığı,
  • Bu kapsamda, veri sorumlusunun vekili olduğu Banka adına borçlu tarafın yakınlarına 89/1 haciz ihbarnamesi göndermesinde, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan yükümlülüklerini yerine getirmek amacıyla ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanun’un 5’ inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı kanaatine varıldığı

değerlendirmelerden hareketle;

  • Bankanın somut olayda veri sorumlusu olmaması nedeniyle Kanun kapsamında hakkında yapılacak bir işlem olmadığına,
  • Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da Kanun kapsamında tesis edilecek bir işlem olmadığına

karar verilmiştir.

14.10.2021: “İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun KVKK’ya aykırı uygulamalarda bulunması”
Karar Tarihi : 14/10/2021
Karar No : 2021/1051
Konu Özeti : İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması

 

Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişiye cevap verilerek talebinin yerine getirilmiş olmasına rağmen ilgili kişi tarafından veri sorumlusunun cevabı beklenmeden Kurul’a şikâyette bulunulduğu;
  • İlgili kişinin platformda bulunan iletişim kanalı üzerinden “İş başvuruları ve görüşme sonrasında sistemlerinde bulunan adayların değerlendirilmesine yönelik, işverenlere sunulan ilgili kişiye ait tüm verilerin ve verilerden türetilmiş bilgilerin Kanunun 11’inci maddesinin bentleri uyarınca paylaşılması” talebini müteakip veri sorumlusunca ilgili kişi ile iletişime geçildiği; ilgili kişinin işveren ile planladıkları mülakata gitmediği, işverenin "bu durumu diğer işverenlere belirteceğini" söylediği, ilgili kişinin verilerinin paylaşıldığı kişileri ve verilerinin (işverenin ilgili kişi hakkında veri sorumlusu hizmet ortamında yaptığı değerlendirmeleri) diğer işverenler ile paylaşılıp paylaşılmadığını öğrenmek istediğini belirttiği; ilgili kişinin talebini yanıtlamak amacıyla öncelikle sözlü olarak iletişime geçilerek veri sorumlusu nezdinde işverenlerin adaylar hakkında gerçekleştirdiği değerlendirmelerin herhangi bir şekilde diğer işverenlerle paylaşılmadığının belirtildiği; ayrıca ilgili kişinin talebinin kayda sistematik olarak geçmesi amacıyla "Veri Sorumlusu Başvuru Formu" iletildiği ve bu formun doldurularak veri sorumlusuna başvuruda bulunabileceğinin ifade edildiği;
  • İlgili kişinin formu doldurarak veri sorumlusuna ilettiği, ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin tüm bentlerindeki haklarını kullanma talebinde bulunması üzerine bir yandan talebi yerine getirilirken bir yandan da söz konusu sürede ilgili kişiye ait kişisel verilerin işlenmesinin durdurularak talebi doğrultusunda 30 gün içerisinde Kanun ve ikincil mevzuata uygun şekilde kişisel verilerinin imha edileceği bilgisinin iletildiği, bunun üzerine ilgili kişinin kişisel verilerinin imha talebinde bulunmadığını, kişisel verilerinin aktarıldığı işverenlerin bilgilerini talep ettiğini ve veri sorumlusunun tutumunu Kurul’a şikâyet edeceğini belirttiği, aynı gün veri sorumlusunun ilgili kişi ile sözlü iletişime geçtiği ve talebinin karşılanacağını belirttiği, bununla birlikte ilgili kişinin veri sorumlusunun kasıtlı bir şekilde böyle cevap verdiğini ve Kurul’a şikâyette bulunduğunu ifade ettiği;
  • Buna rağmen ilgili kişinin veri sorumlusu bünyesinde yer alan verilerine o güne kadar erişen tüm işverenlerin bilgisinin ilgili kişi ile paylaşıldığı ve bunun ardından herhangi bir iletişim kurulmadığı, ilgili kişinin mevcut durumda hala platform üyesi olduğu ve platformu kullanmaya devam ettiği;
  • İlgili kişinin Kurum’a ilettiği şikâyet dilekçesinde yer alan ifadelerin aksine başvurusunun reddedilmediği, veri sorumlusunun ilgili kişinin talebini yerine getirmek adına başvuru sonrası derhal çalışmalara başladığı ve 7 gün gibi kısa bir süre içerisinde 2008 yılından bu yana işlenen çeşitli kişisel verileri ilgili kişinin kolayca ulaşabileceği bir formatta kendisine ilettiği;
  • Veri sorumlusunun Kanun ve ikincil düzenlemeleri uyarınca yürürlüğe koyduğu Kişisel Veri İşleme, Saklama ve İmha Politikasını özenle uygulamakta olduğu, ilgili kişinin talebi üzerine kişisel verileri silme/imha etme işlemine başlandığı fakat böyle bir talebinin olmadığının anlaşıldığı anda işlemin durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığı;
  • İşverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığı, işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiği, veri sorumlusu nezdinde çalışan adaylarının platforma yüklemiş olduğu kişisel verileri kullanılarak herhangi bir veri türetilmediği, yalnızca işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve bu kişisel veriler için işverenlerin veri sorumlusu olup bu bilgilerin üretilmesine ilişkin kendilerinin herhangi bir dahlinin bulunmadığı;
  • İlgili kişinin Kanun yürürlüğe girmeden evvel bir dönemde platforma üye olduğu ve yine Kanun’un Geçici 1’inci maddesi uyarınca da geçiş süreci içerisinde aksine bir irade beyanında bulunmadığı, yine de firmanın tüm veri işleme süreçlerine ilişkin kapsamlı bir uyum süreci başlattığı, VERBİS kaydını da zamanında tamamlayarak, şeffaf ve hesap verebilir şekilde kişisel verilerin korunması için gerekli teknik ve idari tedbirleri aldığı;
  • Veri sorumlusunun ilgili kişiye sunduğu hizmetler sebebiyle ilgili kişiye ait kimlik bilgilerinin, iletişim bilgilerinin, mesleki deneyim bilgisinin,  aldığı sertifika ve eğitim bilgilerinin, yabancı dil bilgisinin, kullanabildiği bilgisayar programlarının, görsel veri olarak özgeçmişte yer alan fotoğraf ve diğer bilgiler olarak da hobilerinin, ilgi alanları ve gerçekleştirilen projelere ilişkin bilgilerin işlendiği, ilgili kişilere sunulan “Kişisel Verilerinizin Korunması Hakkında Aday Aydınlatma Metni”nde (Aydınlatma Metni) platforma üye olan adayların hangi kişisel verilerinin işlendiğinin belirtildiği ancak Aydınlatma Metni'nde yer alan tüm veri kategorilerinin veri sorumlusunca işlenmediği, ilgili kişilerin iş ilanlarına başvurmak için hangi bilgileri paylaşacaklarını kendilerinin belirlediği;
  • İlgili kişinin 21.03.2008 tarihinde “Hizmet Sözleşmesi”ni kabul ederek platforma üye olduğu, Hizmet Sözleşmesi uyarınca ve ilgili kişiye sunulan hizmet kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiği, zira platformun kullanım amacı ve üyelere sunulan hizmet kapsamında sayılan kişisel verilerin işlenmesinin zaruri olduğu, ayrıca üyelerin paylaşacakları kişisel verileri kendilerinin belirlediği, bu nedenle ilgili kişiden açık rıza alınmadığı ve yukarıda belirtilen hukuki sebebe dayanılarak kişisel verilerinin işlendiği;
  • İlgili kişinin kişisel verilerinin platforma üye olan işverenler ile paylaşıldığı, adayların işverenler ile doğrudan özgeçmiş paylaşımı yapabildiği gibi işverenlerin de platform üzerinden adayların özgeçmişlerine erişebildiği, ilgili kişinin özgeçmişinde yer alan kişisel verilere hangi işverenlerin ne zaman eriştiği de belli olacak şekilde ilgili kişiye sunulduğu;
  • Veri sorumlusunun ilgili kişileri aydınlattığı ölçüde ve Aydınlatma Metni'nde belirttiği amaçlar doğrultusunda kişisel verilerini kullandığı, bu amaçların dışında ve bu amaçları aşacak ölçüde kişisel veri kullanılmasına izin vermediği, ilgili kişinin talebinin yerine getirildiği ve kişisel verilerinin onayı olmadan silinmesi veya imha edilmesi gibi bir durumun söz konusu olmadığı 

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.”
hükmünü amir olduğu,

 

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kişisel verilerine erişim talebinin yerine getirilmemesi konusundaki iddiasına ilişkin olarak;  ilgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurula şikâyette bulunduğu anlaşılmış olmakla birlikte, ilgili kişinin kişisel verilerine erişim talebinin Kurula şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı dolayısıyla ilgili kişi tarafından yapılan iş başvurularına ilişkin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği görüldüğünden, ilgili kişinin talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin / imha edileceğinin bildirilmesi hususundaki iddialarına yönelik olarak veri sorumlusunca ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin (1) numaralı fıkrasının tüm bentlerindeki haklarını kullanma talebinde bulunması nedeniyle söz konusu fıkranın (e) bendinde yer alan kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması halinde silme ve imhaya yönelik işlemin derhal durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığının belirtildiği görülmüş olup; ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusu beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kurum’a sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/ imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması iddialarına ilişkin olarak ilgili kişinin bu iddiaya yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığı 

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, 
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına 

karar verilmiştir.

17.02.2022: “Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi”
Karar Tarihi : 17/02/2022
Karar No : 2022/137
Konu Özeti : Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

 

Kuruma intikal ettirilen ihbar dilekçesinde; veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, bu durumun 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılması talep edilmiştir. İhbar dilekçesinde ayrıca; veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır. şeklinde bilgilerin yer aldığı ekran görüntüsüne yer verildiği görülmüştür.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Veri sorumlusunun gerek yerleşik olduğu iş yerlerinde gerekse de web sitesinde perakende satış hizmeti sunduğu ve bu hizmete ilişkin müşteri/ziyaretçi/üyelerden kanundan kaynaklanan veya satış sözleşmesinin gereklerinden kaynaklanan kişisel verileri satış sözleşmesini gereği gibi ifa etmek amacıyla otomatik olan yahut otomatik olmayan yollarla bir veri kayıt sisteminin parçası olmak üzere uhdesinde bulundurduğu,
  • Ayrıca kredilendirmeye esas olarak senetle yapılan alışverişler için sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan ilgili kişilere ait kişisel, mali ve ekonomik verilerin işlendiği, ilgili kişilerden istenen bu verilerin işleme ilkelerine tam olarak uyumlu olduğu,
  • Veri sorumlusu tarafından verilerin; kredilendirmeye esas teşkil etme, ilgili kişilerin kimlik bilgilerini, mali gücünü ve iletişim bilgilerini doğrulama, mal/hizmet satış süreçlerinin yürütülmesi, müşteri ilişkileri süreçlerinin yönetilmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, hukuk işlerinin takibi ve yürütülmesi amaçlarıyla işlendiği, saklandığı ve gerektiğinde imha edildiği,
  • İnternet sitelerine üye olan kişilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri bilgilerinin işlendiği, bu bilgilerin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği, üye olmayıp yalnızca ziyaretçi olan kişilerin; IP adresi, site üzerinde gezinme bilgilerinin tanıtım yapmak, promosyonlar ve pazarlama teklifleri sunmak, sitenin içeriğini kullanıcılara göre iyileştirmek ve/veya tercihlerini belirlemek amacıyla işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri, otomatik ödeme bilgilerinin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği,
  • Firmalarının mağaza satışlarının büyük kısmını oluşturan "Sözleşmeli Alışveriş"ler için internet üzerinden uygun bir ekran oluşturulmak istendiği, sözleşme ile alışverişin Türk Borçlar Kanununun (TBK) 8 inci maddesinde yer alan icaba davet niteliğinde bir faaliyet olduğu, bu alışveriş bakımından firmanın kendi iç bünyesinde kredilendirme çalışması yapıldığı, ilk olarak muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği, internet sitesinde bulunan sözleşmeli satış ile ilgili olarak alınan verilerin yalnızca yukarıda belirtilen veriler olduğu, bunun haricinde e-Devlet şifresinin taraflarınca istenmediği ve ilgili alanın başkaca bir görselin parçası olduğu, format olarak dahi girilip doldurabilen bir alan olmadığı, jpg formatında olan bir alan olduğu ve taraflarınca fark edilmesiyle ivedilikle kaldırıldığı, bu alanda yer alan e-Devlet şifresi girişi için internet sitelerinde teknik donanım dahi bulunmadığı, bu hususla ilgili kurumun yapacağı her türlü denetime firmalarının açık olduğu, site üzerinde yer alan yazılımda ve veri tabanlarında bu hususa ilişkin hiçbir veri bulunmadığı, hiç kimsenin bu şekilde oldukça hassas ve kişiye özel olan verisinin işlenmediği, yalnızca icaba davet niteliğinde olacak şekilde genel nitelikli verilerin taraflarınca işlendiği ve kredilendirme yapma ve ödeme gücünün tespiti için iletişim numarasından kişi ile iletişime geçilerek bu şekilde kimlik doğrulaması yapıldığı, taraflarının e-Devlet şifresi alma gibi bir uygulaması bulunmadığından bu verilerle başkaca hiçbir verinin de elde edilmediği

belirtilerek kişisel verilerin korunmasına ilişkin taraflarınca alınan idari ve teknik tedbirlerle ilgili başkaca bilgilere ve açıklamalara yer verilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 17/02/2022 tarih ve 2022/137 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında da “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, mezkur maddenin (5) numaralı fıkrasında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceğinin hüküm altına alındığı,
  • Somut olayda veri sorumlusu tarafından internet sitesinde e-Devlet şifresinin talep edildiği alanın jpg formatında olduğu iddia edilmekle birlikte söz konusu internet sitesine ilişkin ekran görüntüsü incelendiğinde; Kasaya Git sekmesi altındaki sayfada kırmızı renk ile yazılmış “Dikkat Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi Onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” bilgilendirmesinin yer aldığı ve e-Devlet şifresinin girilebildiği bir kutucuk ile SİPARİŞİ ONAYLIYORUM başlıklı bir bölüm olduğu, dolayısıyla, ihbar dilekçesi ekinde yer verilen ekran görüntüsünden yazı içeriğinde butona basılması ile otomatik olarak doğrulama yapılacağının belirtilmesi ve e-Devlet şifresinin girildiği bir alan olduğunun anlaşılması noktasından hareketle e-Devlet şifresi girileceği belirtilen alanın jpg formatında olmasının herhangi bir amaca hizmet etmeyeceği, nitekim veri sorumlusu da her ne kadar e-Devlet şifresinin taraflarınca istenmediğini, ilgili alanın başkaca bir görselin parçası olduğunu, doldurulamayacak ve jpg formatında bir alan olduğunu iddia etse de bu durumu tevsik edici bir belge sunmadığı, hatta ihbara konu ekran görüntüsünün taraflarınca fark edilmesiyle ivedilikle kaldırıldığını beyan ettiği,
  • Bu kapsamda, ihbara konu ekran görüntüsünde yer alan sayfanın, veri sorumlusunun e-mağaza uygulamasında kontrolleri dışında görüntülenebilir olmasının mümkün olamayacağı, söz konusu olay bu şekilde vuku bulmuş olsa dahi bu durumun veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiği, senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle, ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları,
  • Öte yandan, söz konusu e-Devlet şifresinin bir anlam ifade edebilmesi için müşteriler tarafından öncelikle T.C. kimlik numarasının veri sorumlusuna sağlanmış olması gerektiği, veri sorumlusu tarafından üye olan kişilerin ad-soyadı, iletişim, adres, parola, alışveriş ve ödeme yöntemleri bilgilerinin işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin ise ad-soyadı, iletişim, adres, parola, alışveriş, ödeme yöntemleri ve otomatik ödeme bilgilerinin işlendiği belirtilmekle birlikte Kuruma iletilen aydınlatma metinlerinde taraflarınca T.C. kimlik numarasının da alındığının beyan edildiği, bu hususa ilişkin olarak internet sitesinde yapılan incelemede Hesap Oluştur sayfasında üyelik için T.C. kimlik no, ad, soyadı, e-posta, telefon, adres (il, ilçe, mahalle, cadde, sokak, açık adres) ve parola bilgilerinin talep edildiği ve “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.” ifadelerine yer verildiği,
  • Ayrıca, internet sitesine rastgele bir T.C. kimlik numarası ile üye olunmak istendiğinde “Girdiğiniz Tc kimlik numarası geçersizdir.” uyarısı ile karşılaşıldığı, söz konusu T.C. kimlik numaralarının geçerli ya da geçersiz olduğuna ilişkin doğrulamanın nasıl bir veri tabanı ile sağlandığının anlaşılamadığı,
  • Üyelik oluşturma sayfasında T.C. kimlik numarası girilmesi gereken alanlara rastgele numaralar girilerek deneme yapıldığı, bu denemede *********** şeklinde bir numara girilmesi sonrasında aktifleşen alanlarda otomatik olarak A*** A*** İ*** Cad. S*** Sok. No:** bilgilerinin görüntülendiği, bu şekilde birkaç tane daha deneme yapıldığı ve farklı kişilerin ad, soyadı ve adres bilgilerinin ekrana otomatik olarak yansıdığı, söz konusu T.C. kimlik numaralarının geçersiz olabileceği kanaatine varılmakla birlikte bu üyeliklerin veri sorumlusu tarafından doğrulama sistemi getirilmesi öncesinde müşteriler tarafından oluşturulan gerçek hesaplar veya veri sorumlusu tarafından deneme amaçlı oluşturulan hesaplar olabileceği,
  • Söz konusu ihtimallere karşı geçerli bir T.C. kimlik numarası ile üyelik oluşturulduğu, sonrasında aynı T.C. kimlik numarasının hesap oluşturma sayfasına girildiği ve oluşturulan hesap bilgilerinin üyelik sayfasında otomatik olarak yer aldığı, buradan hareketle, yalnızca bir kişinin T.C. kimlik numarasını ve söz konusu sayfaya üye olduğunu bilen bir kişinin ilgili kişinin adres bilgilerine ulaşmasının olası olduğu,
  • Bununla birlikte söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği,
  • Resen inceleme konusu çerçevesinde internette yapılan araştırmada; veri sorumlusunun internet sitesinden yaptıkları alışverişlerle ilgili yaşadıkları sorunları paylaşan farklı kişilerin olduğu, bu kişilerin şikâyetlerinde e-Devlet şifresini de veri sorumlusu ile paylaştıklarını ifade ettikleri ve bu durumdan endişe duyduklarının görüldüğü,
  • Bu çerçevede resen incelemeye konu ihbar başvurusu, veri sorumlusu hakkında internet sayfalarında yer verilen şikâyetler ile veri sorumlusundan alınan bilgiler ışığında, veri sorumlusu tarafından ilgili kişilerden senetli alışveriş yapabilmek için e-Devlet şifresi, internet sayfasında üyelik oluşturabilmek için de T.C. kimlik numarası bilgisinin temin edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
  • Bununla birlikte, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; açık rızanın Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği, rızanın özgür iradeyle verilmiş olmasının kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması ile sağlandığı, birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet verebileceği, somut olayda online bir alışveriş sitesine üye olmak ve senetli alışveriş yapmak için alınan kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa (Veri Sorumlusunun hesap oluşturma sayfasında yer alan bilgi: “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.”, veri sorumlusunun Kasaya Git sekmesinde yer alan bilgi: Dikkat Senetli alışverişte onay süreciniz başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz.), bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede, ilgili kişilerden senetli alışverişlerde e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarasının paylaşılmasının zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarına dayanılmaksızın gerçekleştirildiği,
  • Öte yandan, veri sorumlusu tarafından kredilendirmeye esas olarak senetle yapılan alışveriş için ilgili kişilere ait sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, bu kapsamda, veri sorumlusu her ne kadar sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan veriler olduğunu iddia etse de ödeme gücü tespit edilmeksizin de sözleşmenin kurulmasının mümkün olabileceği ile söz konusu ödemenin aksaması/yapılmaması halinde hukuki yollara başvurulması suretiyle ödemenin yapılmasının sağlanabileceği kanaatine varıldığı, diğer bir deyişle, veri sorumlusu tarafından ilgili kişilerin ekonomik durumuna ilişkin kişisel verilerin işlendiği ve söz konusu verilerin işlenmesinin hukuka uygunluğu noktasında belirsizlik bulunduğu

tespit ve değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmakta olup bu hususların Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına

karar verilmiştir.

06.01.2022: “Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılması”
Karar Tarihi : 06/01/2022
Karar No : 2022/13
Konu Özeti : İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın başvurunun yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup veri sorumlusu tarafından Kuruma herhangi bir cevap verilmemiştir.

Bu itibarla yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise sayılan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görüldüğü, şikayete konu iddialara ilişkin olarak veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, veri sorumlusunu muhatap yazının tebliğ edilmiş olmasına rağmen Kanunun 15 inci maddesinin (3) numaralı fıkrasında öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, kişinin adı, soyadı ve fotoğrafının kişisel veri niteliğini haiz olduğu konusunda tereddüt olmamakla birlikte kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin kişisel veri niteliğine haiz olup olmadığı hususunun ayrıca değerlendirilmesi gerektiği, sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirildiğinden kişisel veri niteliğini haiz olduğu, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendine göre; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi hâlinde Kanun hükümlerinin uygulanmayacağının hüküm altına alınmış olduğu, Anayasanın 28 inci maddesinde düzenlenen basın özgürlüğünün Anayasanın 26 ncı maddesinde düzenlenen düşünceyi açıklama ve yayma özgürlüğünün bir yansıması olarak kabul edildiği, demokratik toplumlarda basının en önemli görevinin, kamu yararını ilgilendiren olay ve konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak olduğu ve yaptığı bu görev nedeniyle basına “haber verme hakkı ve görevi” tanınmış olduğu, 
  • Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu,  dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği ve bunun için temel ölçütün ise kamu yararı olduğu, gerek yazılı ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunmasının gerektiği,
  • Haber başlığında ilgili kişinin yalnızca üniversiteyi kazanan gençlerin sevincinden bahisle T.C. kimlik numarası maskelenerek ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer verilmiş olduğu, haberde başkaca bir bilgiye veya belgeye yer verilmediği, bu bilgilerin kullanılarak yapılan haber kapsamındaki kişisel verilerin kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi gerektiği, 
  • Bu kapsamda, biçim ve öz arasındaki denge açısından haberlerde kullanılan dil ve ifadenin gerektirdiği ölçüde olduğu ve haberlerin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varılması sebebiyle habere konu kişisel veriler açısından öz ile biçim arasındaki denge kriterine muhalefet edilmediği anlaşılmakla beraber, söz konusu haberin ilgili kişinin yüksek bir başarısı olduğundan bahisle yapılmadığı, yalnızca üniversiteyi kazanan gençlerden birinin örneğinin verildiğinin görüldüğü, bu sebeple haberin toplumda sık rastlanan bir olay olduğu ve haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği ve söz konusu kişisel veri işleme faaliyetinin istisna kapsamında olmadığının görüldüğü,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin ikinci fıkrasının (d) bendinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”nın bir kişisel veri işleme şartı olarak düzenlendiği, Yükseköğretim Kurumları SınavıÖlçme, Seçme ve Yerleştirme Merkezi tarafından yapılan bir sınav olup sınav sonucunun ancak kişinin oluşturduğu bir şifre ve T.C. kimlik numarası ile sorgulanabildiği, bu bilgiden hareketle ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanının ilk olarak ilgili kişi tarafından yayımlanması suretiyle alenileştirilmiş olabileceği ihtimalinin gündeme geldiği, ancak veri sorumlusunun şikâyete ilişkin bilgi ve belge talebine cevap vermeyerek savunma hakkını kullanmamış olması nedeniyle ilgili kişinin kişisel verilerinin nereden ve nasıl elde edildiği ve kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı, Kanunun kişisel verilerin işleme şartlarının düzenlendiği 5 ve 6 ncı maddelerinde kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin,  veri sorumlusu tarafından Kanunda yer alan hangi hukuka uygunluk sebebine dayanılarak kişisel veri işlendiğinin belirtilmemiş olması nedeniyle kişisel verilerin hukuka aykırı olarak işlendiği yönündeki karineye dayanarak veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesine göre veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, veri sorumlusunun ilgili kişinin kişisel veri niteliğini haiz adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını hukuka aykırı olarak işlemesi nedeniyle Kanunun 12 nci maddesinde yer alan yükümlülüklerine aykırı hareket ettiği,
  • 5326 sayılı Kabahatler Kanununun “İdari Para Cezaları” başlıklı 17 nci maddesinin ikinci fıkrasına göre idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağının hüküm altına alındığı, 
  • Karar tarihi itibariyle veri sorumlusuna ait internet sitesinde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanının paylaşıldığı haberin kaldırılmış olduğunun görüldüğü

değerlendirmelerinden hareketle;

  • Şikayete konu kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına

karar verilmiştir.

23.12.2021: “Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi”
Karar Tarihi : 23/12/2021
Karar No : 2021/1324
Konu Özeti : Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

 

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;

  • 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği,
  • Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
  • 25.03.2021 tarihinde gelen alarmlar incelediğinde şüpheli bir davranış olduğunun tespit edildiği,
  • Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği, 
  • İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği,
  • Saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • İhlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;

  • Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
  • İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
  • Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu,
  • 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
  • Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
  • Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği, 
  • Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu 

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına

karar verilmiştir.

02.12.2021: “İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1210
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kullanmakta olduğu cep telefonu numarasına 0850 *** ** 77, 0216 *** ** 70 ve 0850 *** ** 15 numaralarından farklı tarihlerde aramalar gerçekleştirilerek Digiturk kampanyaları hakkında bilgilendirmede bulunulduğu, yapılan aramalarda kendilerinin Digiturk bayisi olunduğunun belirtildiği,  akabinde Digiturk hizmetlerinin reklam ve pazarlamasının yapılması amacıyla 0850 *** ** 82 numaralı telefon üzerinden ilgili kişiye SMS gönderildiği, ancak iletişim bilgilerinin ticari elektronik ileti gönderilmesi suretiyle işlenmesi hususunda açık rızasının bulunmadığı, bu anlamda herhangi bir işleme şartına dayanmaksızın kişisel verilerinin hukuka aykırı olarak işlendiği, adı geçen Şirket’e 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesindeki hakları kapsamında başvuruda bulunduğu, bu başvuruya karşılık verilen cevapta ilgili kişinin Şirket nezdinde abonelik kaydının bulunmaması nedeniyle ilgili kişinin herhangi bir kişisel verisinin sistemlerinde yer almadığı, söz konusu ticari iletilerin kendileri tarafından gönderilmediği ve başvuruda belirtilen telefon numaralarının Şirket’lerine ait olmadığı yönünde bilgi verildiği belirtilerek konu ile ilgili gerekli incelemenin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde konunun Digiturk’ü ilgilendiren boyutu dikkate alınarak Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nden (Krea İçerik Hizmetleri) savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirket nezdinde ilgili kişinin abonelik kaydının bulunmadığı ve ilgili kişinin Şirket’e yaptığı başvurudan önce Şirket sistemlerinde ilgili kişiye ait herhangi bir kişisel verinin yer almadığı, 
  • İlgili kişinin başvurusunda belirtilen telefon numaralarının Şirket’e ait olmadığı ve söz konusu aramalar ile SMS gönderimlerinin Şirket tarafından gerçekleştirilmediği, 
  • Söz konusu telefon numaralarının Şirket bayilerinden birine ait olup olmadığının tespit edilemediği, zira bayilerin Şirket’ten bağımsız şekilde telefon numaraları elde etmiş olabilecekleri, 
  • Şirket ürün ve hizmetlerinin son kullanıcılara satışının bir kısmına aracılık eden bayilerin tüm pazarlama süreçlerinde Şirket’ten bağımsız şekilde ayrı birer veri sorumlusu sıfatı ile hareket ettikleri, Şirket’ten herhangi bir emir veya talimat almadıkları ve bu konuda Şirket tarafından herhangi bir yönlendirmede bulunulmadığı, bu aramalar üzerinde Şirket’in herhangi bir denetim imkânının bulunmadığı ve dolayısıyla şikâyete konu olayda Şirket’in veri sorumlusu olarak hareket etmediği,
  • Şirket tarafından bayilere mevcut ya da potansiyel müşterilere ilişkin herhangi bir kişisel veri aktarılmadığı ve ürünlerin pazarlanması amacıyla iletişim bilgisi listeleri sağlanması gibi uygulamaların söz konusu olmadığı

ifade edilmiş ve ilgili kişiye yapılan aramada belirtilen bayinin (Bayi) Şirket sisteminde hangi unvanla kayıtlı bulunduğu bilgisi Kurumumuzla paylaşılmıştır. 

Krea İçerik Hizmetleri’nden alınan cevabi yazının incelenmesinin ardından, ilgili kişinin başvurusunda belirtilen telefon hatlarını tahsis eden işletmeciler tespit edilmiş ve söz konusu telefon hatlarının hangi kişi/şirketlere tahsis edildiği ile bu kapsamda yapılan sözleşmenin içeriği hususlarında bahse konu işletmecilerden bilgi ve belge talep edilmiştir. İlgili işletmecilerden alınan cevabi yazıların incelenmesi neticesinde, 0850 *** ** 77 numaralı hattın Krea İçerik Hizmetleri’nin cevabi yazısında da unvanı belirtilen Bayi’ye, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların M.D. isimli şahsa (M. İletişim); 0850 *** ** 82 numaralı hattın ise M.A. isimli şahsa tahsis edildiği anlaşılmıştır. 

İnceleme sürecinde ulaşılan bilgiler çerçevesinde, telefon hatlarının tahsis edildiği kişilerden şikâyet konusu olaya ilişkin savunmaları talep edilmiş olup bu kapsamda Bayi’den alınan cevabi yazıda özetle; 

  • Kendilerinin Krea İçerik Hizmetleri’nin bayisi olduğu,
  • İlgili kişinin rızası olmaksızın aranmasının Şirket’in operatör-çağrı merkezi bölümünü ilgilendirdiği ve operatör hizmetinin M.D. isimli şahsa (M. İletişim) devredildiği,
  • Taşeronun numaraları nasıl temin ettiği, görüşme içerikleri ve ilgili kişiye yönelik aramalar gerçekleştirip gerçekleştirmediği hususlarında bilgi sahibi olunmadığı ve bu konudaki tüm sorumluluğun taşeron firmaya ait olduğu

belirtilmiş ve taşeron M.D. (M.İletişim) ile aralarındaki taşeronluk sözleşmesi gönderilmiştir.

İşletmeciler ile yapılan yazışmalardan, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların kendisine tahsis edildiği görülen ve Bayi’nin cevabi yazısından da Bayi’nin taşeronu olduğu anlaşılan M.D. isimli şahıstan (M.İletişim) alınan cevabi yazıda özetle;

  • Krea İçerik Hizmetleri’nin söz konusu bayisine taşeron çağrı merkezi hizmeti verilmekte olduğu,
  • İlgili kişinin telefon numarasına reklam ve tanıtım amaçlı arama yapıldığı, 
  • Sistemlerinde kayıtlı olan verilerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun yürürlük tarihinden önce numara türetme yöntemiyle elde edilmiş olduğu, 
  • Şikâyete konu olayın 6698 sayılı Kanun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde değerlendirilmesi gerektiği

ifade edilmiştir. 

M.A isimli şahıstan alınan cevabi yazıda ise özetle; 

  • Bazı dönemlerde sosyal medya hesapları üzerinden verilen reklamların, kişilerin sosyal medya hesaplarında karşılarına çıktığı ve bu kapsamda kendi istekleri ile form doldurmalarının ardından kendilerine kampanya duyurusu yapıldığı,
  • İlgili kişinin bir internet sitesi üzerinden doldurduğu formun ekte sunulduğu

belirtilmiş ve kişilere arama yapılmasında kullanılan sistemin çalışma şekline ilişkin bilgi verilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 02/12/2021 tarih ve 2021/1210 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”; (ğ) bendinde ise veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” şeklinde tanımlandığı; Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”nde söz konusu kavramların açıklandığı bölümde, veri işleyenin faaliyetlerinin veri işlemenin daha çok teknik kısımları ile sınırlı olduğunun, veri sorumlusunun ise kişisel verilerin işlenmesine ilişkin karar alma yetkisine sahip olduğunun ve kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağını belirlediğinin ifade edildiği; bu kapsamda “kişisel verilerin toplanması ve toplama yöntemi”, “toplanacak kişisel veri türleri”, “toplanan verilerin hangi amaçlarla kullanılacağı”, “hangi bireylerin kişisel verilerinin toplanacağı”, “toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı” ve “verilerin ne kadar süreyle saklanacağı” gibi hususlara ilişkin karar alma yetkisinin kimde bulunduğunun veri sorumlusunun tespitinde önem taşıdığı,
  • Krea İçerik Hizmetleri ile Bayi arasındaki ilişkiye yönelik olarak bir değerlendirme yapıldığında, ilgili kişinin kişisel verisinin işlenmesi faaliyetine ilişkin karar alma ve talimat verme yetkisinin Krea İçerik Hizmetleri’nde bulunduğu durumda Krea İçerik Hizmetleri’nin veri sorumlusu, kendisine verilen talimatlar çerçevesinde hareket eden Bayi’nin ise veri işleyen sıfatını haiz olacağının düşünülebileceği; ancak konuya ilişkin olarak tarafların Kuruma sundukları beyanlar değerlendirildiğinde Krea İçerik Hizmetleri’nin somut olayda veri sorumlusu olarak hareket ettiğine dair bir tespitte bulunulamadığı,
  • Öte yandan Bayi ile taşeronu M.D. (M. İletişim) arasındaki taşeronluk sözleşmesi incelendiğinde, Bayi nezdinde kayıtlı olan 0850 *** ** 77 numaralı hattın kullanımı için taşeron firmanın yetkilendirildiği, bu hattın kullanımı ile ilişkili sorumluluğun taşerona bırakıldığı ve sözleşmenin içeriğinde taşeronun Bayi’nin verdiği talimatlar çerçevesinde faaliyette bulunduğunu gösterir nitelikte hükümlerin yer almadığı görüldüğünden, şikâyete konu olayda Bayi’nin veri sorumlusu olarak nitelendirilebileceğine yönelik bir tespitte bulunulamadığı,
  • Diğer taraftan inceleme sürecinde ulaşılan bilgiler arasında, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların somut olayda taşeron M.D. isimli şahsa (M. İletişim) tahsis edildiği bilgisinin bulunduğu, mevcut bilgi ve belgelerden söz konusu iki numaranın Bayi ile olan alt işveren ilişkisinden bağımsız olarak M.D. tarafından kullanılmakta olduğu sonucuna ulaşıldığı, ilgili kişinin söz konusu numaralar üzerinden kendisine arama yapıldığını belirttiği tarihler ile M.D. isimli şahsın (M. İletişim) savunmasında sunulan tarihlerin uyuştuğu ve sisteminde kayıtlı telefon numaralarının “numara türetme yöntemi” ile elde edilmiş olduğunun beyan edildiği, 
  • Bu kapsamda M.D.’nin (M. İletişim) söz konusu aramalara ilişkin olarak başka kişilerce talimatlandırıldığını gösteren bir bilgi ve belgenin mevcut olmadığı, irtibata geçilecek kişileri belirleme konusunda yetkinin kendisinde bulunduğu, kendi inisiyatifi ile numara türetmek suretiyle ilgili kişinin telefon numarası verisine ulaştığı ve işletmesinin 6102 sayılı Türk Ticaret Kanunu kapsamında tüzel kişiliği bulunmadığından hareketle M.D.’nin somut olayda veri sorumlusu sıfatını haiz olduğu,
  • 0850 *** ** 82 numaralı hattın tahsis edildiği M.A. açısından bir değerlendirme yapıldığında ise M.A.’nın, ilgili kişinin bir internet sitesi üzerinden doldurduğunu iddia ettiği formu sunduğu, kendi veri tabanını oluşturan ve bu veri tabanını kullanmak suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işleyerek kendisine ticari elektronik ileti gönderimi yapan M.A.’nın somut olay kapsamında veri sorumlusu sıfatını haiz olduğu, 
  • İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, ürün tanıtımı ve pazarlama yapılması amacıyla aranması /SMS gönderilmesi suretiyle işlenmesi, Kanunun 3 üncü maddesi uyarınca kişisel veri işleme faaliyeti teşkil ettiğinden bu işlemenin hukuka uygun şekilde gerçekleştirildiğinden bahsedebilmek için Kanunun 5 inci maddesinde sayılan şartlardan birinin bulunması gerektiği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin; (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
  • Şikâyete konu kişisel veri işleme faaliyetinde veri sorumlularından biri olduğu değerlendirilen M.D. (M. İletişim) tarafından, somut olayın 6698 sayılı Kanunun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde ele alınması gerektiği iddia edilmekle birlikte ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ileti gönderim sürecinin kişisel verilerin korunmasına ilişkin mevzuata da uygun olmasının beklendiği ve M.D.’nin (M. İletişim) sisteminde kayıtlı verilerin numara türetme yöntemi ile elde edildiğine yönelik beyanı esas alındığında ilgili kişinin telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığının anlaşıldığı,
  • Şikâyete konu olayda diğer veri sorumlusu olduğu sonucuna varılan M.A. isimli şahsın kişisel veri işleme faaliyeti açısından bir değerlendirme yapıldığında ise ilgili kişinin bir internet sitesi üzerinden doldurduğu iddia edilen formun geçerliliğinin sorgulanmaya muhtaç olduğu, zira ilgili formun internet sitesinde gösterilen biçimde ve log kaydı veya benzeri bir formatta Kuruma sunulmadığı, bunun yerine ilgili kişinin cep telefonu numarasının ve başvuru tarihinin M.A.’nın el yazısı ile yazıldığı, “onay veriyorum” kutucuğunun işaretlendiği ve formun M.A.’nın ismi ve telefon numarası yazılarak yine M.A.’nın kendisi tarafından imzalandığı görüldüğünden M.A.’nın iddia ettiği üzere formun ilgili kişi tarafından doldurulduğuna yönelik yeterli kanaatin oluşmadığı ve sunulan bu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği 

değerlendirmelerinden hareketle,

  • Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi ile Bayi’nin somut olayda veri sorumlusu olarak hareket ettiklerine yönelik bir tespitte bulunulamadığından anılan Şirketler hakkında Kanunun 12 nci maddesi kapsamında tesis edilecek bir işlem bulunmadığına,
  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığı, dolayısıyla Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket edildiği kanaatine varıldığından veri sorumlusu M.D. hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • Şikâyete konu olayda veri sorumlusu olarak değerlendirilen M.A. isimli şahsın Kuruma sunduğu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği dikkate alındığında, ilgili kişinin kişisel verisinin işlenmesine ilişkin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmayan veri sorumlusu M.A. hakkında Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • İlgili kişi tarafından kullanılmakta olan telefon numarası verisinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda M.D. ve M.A.’nın talimatlandırılmasına,
  • Öte yandan, yeni müşteri kazandırma süreçlerinde Kanuna uyum hususunda azami dikkat ve özenin gösterilmesi hususunda bayilerini yönlendirmesi/bilgilendirmesi ve bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi hususunda Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nin talimatlandırılmasına

karar verilmiştir. 

30.09.2021: “Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi”
Karar Tarihi : 30/09/2021
Karar No : 2021/993
Konu Özeti : Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderildiği, kargo gönderim kodu ile yapılan sorguda faturanın bir firmaya teslim edilen kargo işlemine ait olduğunun görüldüğü, faturada yer alan ad, soyadı, adres, e-posta adresi, T.C. kimlik numarası gibi kişisel verilerinin, satın alma işlemini gerçekleştiren firmaya aktarıldığı, konuya ilişkin veri sorumlusuna başvurduğu, verilen yanıtta ise faturalandırma işleminin sehven ilgili kişi adına yapıldığı ve ilgili kişinin bilgilerinin bir kamu kurumu niteliğindeki meslek kuruluşu (meslek kuruluşu) ile veri sorumlusu arasında imzalanan, ilgili meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında Şirketleri arşivinde bulunduğunun belirtildiği, ilgili meslek kuruluşunun hukuka aykırı şekilde veri sorumlusuna aktardığı kişisel verilerin, veri sorumlusu tarafından kanuni işleme şartına dayanmaksızın işlendiği ve ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu kargo şirketi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin 2018-2020 yılları arasında alıcı müşteri olarak kaydının bulunduğu, bu kayıtlarda ad, soyadı, adres, telefon numarası, T.C. kimlik numarası olmak üzeri belirli kişisel verilerinin yer aldığı,
  • Kargo gönderilerinin alıcı tarafına ait kişisel verilerin kargo taşıma sözleşmesinin gereği olarak işlendiği, bu kişisel verilerin 6475 sayılı Posta Hizmetleri Kanunu, Posta Sektörüne İlişkin Yetkilendirme Yönetmeliği, Posta Hizmetlerinin Sunulmasına İlişkin Yönetmelik, Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar başta olmak üzere ilgili mevzuat hükümleri uyarınca zorunlu olarak işlendiği, söz konusu kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebeplerine dayanarak işlendiği,
  • Türk Ticaret Kanununun 855 inci maddesi uyarınca ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmek üzere, her bir taşıma için ayrı ayrı olmak üzere 3 yıl, 5 yıl ve 10 yıllık sürelerle kişisel verilerin saklandığı,
  • İlgili kişinin şikâyetine konu kişisel verilerinin, bir meslek kuruluşu ile imzalanan ve söz konusu meslek kuruluşunun üyelerinin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında veri sorumlusunun arşivinde bulunduğu,
  • Şirketin ana müşterisi olan meslek kuruluşu ile yapılan görüşmeler devam etmekle birlikte, söz konusu kayıtların arşivleme sürecinin başlatıldığı, bu kapsamda ilgili kişinin müşteri bilgilerinin söz konusu kampanya dahilinde bir daha gönderim yapılmaması adına gönderici/alıcıya kapatıldığı, 
  • Bu süreçte, söz konusu kampanya kapsamında veri sorumlusunca kişilerin T.C. kimlik numaraları ile meslek kuruluşu üyesi olup olmadıklarının sorgulanabilmesi için ilgili meslek kuruluşunun sağladığı bir sistemin hayata geçirildiği, bu sistemden veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir “True/False” yanıtının iletildiği, bunun dışında başka bir kişisel verinin kendilerine aktarılmadığı,
  • Şikâyete konu faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği, söz konusu faturanın iptal edildiği ve işlemi gerçekleştiren acente çalışanlarına gerekli uyarıların yapıldığı

ifade edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/993 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” 
hükmünün yer aldığı,

  • Şikâyet dilekçesinde ilgili kişi tarafından kişisel verilerinin işlenmesinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan işlendiği, kişisel verilerinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan veri sorumlusu kargo şirketi tarafından üçüncü kişi ile paylaşıldığı ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarında bulunduğu,
  • Somut olayda veri sorumlusunun, ilgili kişinin kişisel verilerini veri işlemenin hukuki sebepleri kapsamında işlediği, söz konusu meslek kurulu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığını tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği, veri sorumlusunun kişisel veri işlemesinde hukuka aykırılığının bulunmadığı,
  • Öte yandan ilgili kişinin gönderici veya alıcı sıfatlarıyla veri sorumlusu bünyesinde gerçekleştirdiği işlemlere ilişkin kişisel verilerinin işlenmesinin hukuka uygun olduğu, ancak ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, hatalı faturalandırma işlemi ile Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan veri işleme şartları bulunmadan ilgili kişinin ad, soyadı, TC kimlik numarası, adresi ve e-posta adresi bilgilerinin işlenerek adına fatura düzenlenmesinin hukuka aykırılık oluşturduğu,
  • İlgili kişinin veri sorumlusu tarafından gönderilen kargo zarfında hatalı tahakkuk ettirilen faturada kişisel verilerinin açıkça yer aldığı, dolayısıyla kişisel verilerinin üçüncü kişilerin eline geçtiği iddiasına karşılık bu hususta ilgili kişi tarafından kanıtlayıcı belge sunulamadığı, ancak kargo şirketlerinin gönderi paketleri üzerine gönderici ve alıcıya ait ad, soyadı, adres, telefon numarası gibi kişisel verileri içerir barkod etiketleri yapıştırma uygulaması bulunduğunun bilindiği, buna rağmen, bu etiketlerde yer alan kişisel verilerin maskelenmiş/yıldızlanmış olması ihtimali de bulunduğundan; ilgili kişinin kişisel verilerinin 3. kişilere aktarıldığı iddiasının kanıtlanamadığı,
  • Veri sorumlusu tarafından verilen cevabi yazıda “işlenen kişisel verilerin sözleşmenin kurulması ve ifası ile ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmesi amacı ile sınırlı bir şekilde” 6102 sayılı Türk Ticaret Kanununun 855 inci maddesinin (1) numaralı fıkrası uyarınca 1 yıl, aynı maddenin (5) numaralı fıkrası uyarınca 3 yıl ve gerekli olması halinde genel zamanaşımı süresi olan 10 yıl boyunca muhafaza edildiği”, bu nedenle ilgili kişinin kişisel verilerinin anılan süreler sona erdiğinde arşivlenmek suretiyle silineceği veya erişime kapatılacağının belirtildiği,
  • Bu kapsamda veri sorumlusunun, ilgili kişinin kişisel verilerini Kanunda belirtilen süreler boyunca muhafaza etmesinin hukuka uygun olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da, hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına 

karar verilmiştir.

30.09.2021: “İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması”
Karar Tarihi : 30/09/2021
Karar No : 2021/989
Konu Özeti : İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması

 

Kısıtlının (ilgili kişi) vasisinin Kuruma intikal eden şikâyetinde özetle;  bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın ilgili kişi olan oğluna ait olduğu,  ilgili görselin kullanılmasında açık rızasının bulunmadığı, ilgili kişinin haber içeriğinde beyan edildiği gibi evlat edinilen bir mahkûmun çocuğu olmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği, bu konunun öğrenilmesi neticesinde suça  konu haberi yayınlayan veri sorumlusuna başvuru yapıldığı, veri sorumlusu tarafından fotoğrafın kaldırıldığı taraflarına e-posta ile bildirilse de sadece  bir URL’deki fotoğrafın kaldırıldığı, diğer URL’lerin tamamında fotoğrafa ulaşımın hâlâ sağlandığı ve mağduriyetin devam ettiği, bu kapsamda Ankara…Sulh Ceza Hakimliğine erişimin engellenmesi talebi ile başvuru yapıldığı, başvuru neticesinde bazı URL’lerin erişiminin engellendiği ancak bazı URL’ler açısından ihlâlin hâlâ devam etmekte olduğu, Savcılığa da ayrıca suç duyurusunda bulunulduğu ifade edilerek, ilgili kişinin vasisi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınancevabi yazıda özetle;

  • İnternet sitesinin haber paylaşımı, blog ve çeşitli içerikler sağlayan veya kullanıcılarına/üyelerine bu içerikleri üretip paylaşma imkânı tanıyan bir sosyal medya platformu olduğu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 sayılı Kanun) uyarınca sitenin yer sağlayıcısı olduğu, sitede yer alan içeriklerin veri sorumlusu çalışanı editörler tarafından oluşturulabileceği gibi içerik üretmek ve sitede yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği ve sitede yayımlayabileceği, bu kapsamda veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı; kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu,  
  • Somut olayda haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, siteye yüklenip yayımlandığı, dolayısıyla ilgili içeriğin yayımlanması hususunda kendilerinin herhangi bir kontrol veya denetiminin olmadığı,  5651 sayılı Kanun uyarınca yer sağlayıcı olarak ilgili mevzuat uyarınca içeriğin sebep olduğu herhangi bir hukuka aykırılıktan sorumlu tutulamayacağı,
  • Sitede yer alan Kullanıcı ve Gizlilik Sözleşmesinde de açıklandığı üzere, paylaşım yapacak üyelere sadece paylaşım yapmalarına imkân tanıyan bir sosyal ağ sağlandığı, ayrıca diğer maddelerde de açıkça paylaşım yapan kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceğinin düzenlendiği,
  • Öte yandan, söz konusu haber içeriğinin yayından kaldırılması amacıyla kendilerine yapılan başvuruda; Kanunun 11 inci maddesinde yer alan haklara ilişkin taleplerin yer almadığı, yer sağlayıcı olarak yükümlülüklerinin yerine getirilmesinin talep edildiği, bu kapsamda ilgili kişinin vasisi tarafından öncelikle Kanunun 13 üncü maddesinde belirtilen veri sorumlusuna başvuru yolunun tüketilmediği, bu çerçevede usulüne uygun bir başvuru yapılmadığından hareketle şikâyetin hukuka aykırı olduğu ve reddedilmesi gerektiği,
  • Diğer taraftan, iddia edilenin aksine başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer URL adreslerinin ise içeriğin sitede yer alan arama çubuğu aracılığıyla aratılarak görüntülenmesine ilişkin olduğu ve tamamen ilgili içeriğe bağlı olduğu, içeriğin kaldırılmasıyla birlikte diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı,
  • Bununla birlikte sitede yayımlanan içeriğin haber niteliği taşıdığı ve ifade özgürlüğü kapsamında yayımlandığı, bu sebeple ilgili veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında sayılan Kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı

ifadelerine yer verilmiştir. Bunun üzerine veri sorumlusundan şikâyete konu içeriklere ilişkin linklere yer verilmek suretiyle mezkûr içeriklerin site kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu iddiasına ilişkin tevsik edici tüm belge ve kayıtların Kuruma gönderilmesi istenilmiştir. Veri sorumlusundan alınan cevabi yazıda ise ilgili kullanıcı hesap bilgileri verilerek, söz konusu kullanıcının veri sorumlusu nezdinde editör pozisyonunda görev aldığı ve içerik ürettiği, bununla birlikte incelemeye konu haberlerde yer alan görsellerin tüm kamuoyunda aleni hale geldiği ve veri sorumlusunun haber tarihinden önce yapılan birçok haber internet sitesinde yayımlandığı belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/989 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin ise kişisel verisi işlenen gerçek kişi olarak tanımlandığı, bu çerçevede, habere konu edilen küçüğün kişisel verileri işlenen  ilgili kişi, şikâyete konu içerikte yer alan fotoğrafın kişisel veri niteliğinde olduğu,
  • Öte yandan veri sorumlusuna yapılan başvurunun iddia edildiğinin aksine 6698 sayılı Kanun kapsamında olduğu ve ilgili kişinin/vasisinin açık rızası olmaksızın kişisel verisinin paylaşılması sebebiyle söz konusu fotoğrafın kaldırılması talebinin de Kanunun 11 inci maddesinde sayılan haklar kapsamında olduğu,
  • Söz konusu fotoğrafın kaldırıldığı iddiasının aksine yalnızca bir URL adresindeki fotoğrafın kaldırıldığı, diğer URL adreslerinde ise halen yayımlanmaya devam edildiği, 
  • Sitenin kullanıcıları ile akdettiği Kullanıcı ve Gizlilik Sözleşmesinde yer alan bilgi, veri, yazı, fotoğraf, video, ses klibi, yorumlar, makaleler, yazılımlar, kodlar ve grafiklerin kısaca içerik olduğu ve bu içeriklerin üyeler tarafından girilebileceği gibi veri sorumlusunun editörleri tarafından da girilebileceği ibarelerine yer verildiği,
  • Veri sorumlusunun Kurumu muhatap cevabi yazısında, sitede içerik yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği, veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu ifadelerine rastlandığı,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun (5651 sayılı Kanun) “Tanımlar” başlıklı 2 nci maddesinin (1) numaralı fıkrasının (f) bendinde içerik sağlayıcının, “İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişiler”, yer sağlayıcının ise “Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler” olarak tanımlandığı, “İçerik sağlayıcının sorumluluğu” başlıklı 4 üncü maddenin (1) numaralı fıkrasında “İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur.” hükmünün, “Yer sağlayıcının yükümlülükleri” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasında ise “Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün düzenlendiği,
  • Kuruma intikal eden belgeler incelendiğinde, fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşıldığı, şikâyet konusu içeriğin bağımsız bir kullanıcı/üye tarafından değil çalışan tarafından oluşturulmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Şirketin somut olay nezdinde 6698 sayılı Kanun kapsamında veri sorumlusu sıfatını haiz olduğu, dolayısıyla Kanun kapsamındaki yükümlülüklere tabi olacağı; fotoğrafın şikâyete konu içerikte yayımlanmasının ise kişisel veri işleme faaliyeti olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği, 
  • Bu kapsamda öncelikli olarak, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği, bu çerçevede,  ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;

-    Kamu ilgi ve yararı taşıması, 
-    Gerçek ve güncel olması, 
-    Özü ile biçimi arasındaki denge

kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesi gerektiği,

  • Kamu yararının tespitinde, haberin kişilerin merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesi gerektiği, örneğin; yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu, öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağı,
  • Öte yandan, haberin gerçek ve güncel olmasının ikinci kriter olduğu, gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği,
  • Haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden hareketle kişilik hakkına üstünlük tanınması gerekeceği,
  • Biçim ve öz arasındaki denge kriteri açısından ise kullanılacak dil ve ifadenin, yapılacak niteleme ve vurgunun da haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının ve yasal fonksiyonun yönelik bulunduğu “amaç”a ulaşabilmek için en uygun ve en elverişli “araç”ın kullanılmasının gerekeceği,
  • Bu hususlar doğrultusunda, haber içeriği kapsamındaki kişisel verinin, kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi neticesinde; ilgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesinin Kanundan istisna tutulacağına ilişkin hükmü kapsamında ele alınamayacağı,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı, 

  • Bu kapsamda, ilgili kişiye ait fotoğrafın kendisi ile ilgisi olmayan bir içerikte kullanılmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Kanunun 5 inci maddesinde yer alan işleme şartları olmaksızın veri işleme faaliyetinde bulunulduğu dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • İlgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, zira Kuruma iletilen şikâyet dilekçesi ekinde yer verilen 19.03.2019 tarihli mahkeme kararından da ilgili kişinin annesinin tarafına vasi olarak tayin edildiği dolayısıyla ilgili kişinin adı geçen ünlü tarafından evlat edinilmediğinin açık olduğu dikkate alındığında; internet sitesinde yayımlanan söz konusu haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceğine,
  • İlgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına

karar verilmiştir.

16.09.2021: “İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması”
Karar Tarihi : 16/09/2021
Karar No : 2021/925
Konu Özeti : İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; iki yıldır çalışmakta olduğu Şirkete dava açan bir çalışanın avukatı (veri sorumlusu) tarafından kaleme alınmış dava dilekçesinde, ilgili kişinin kendisine ve sendika üyesi diğer çalışanlara ait sendika üyelik bilgileri ile üyelik tarihlerine yer verildiği; sendika üyelik bilgisini daha önce kimseyle paylaşmadığı; konu hakkında veri sorumlusuna başvuruda bulunduğu ancak verilen cevabı yeterli bulmadığı ifade edilerek veri sorumlusu avukat hakkında 6698 sayılı Kişisel Verilerin Korunması Kanun (Kanun) kapsamında gerekli yasal işlemlerin yapılması talep edilmiştir. 

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazılarda özetle;

  • İşyerinde çalışan işçilerin yasal sendikal faaliyetleri nedeniyle iş sözleşmelerinin feshedilmesi üzerine söz konusu işyerinde çalışan işçilerin %60-70 oranında katıldığı toplantılarda, iş yerinde yaşanan olumsuzluklar nedeniyle iş sözleşmesi feshedilen işçilerin yanında bir kısım işçilerin de işveren baskısı sonucu sendika üyeliğinden istifa ettikleri vb. bilgisinin verildiği; bu toplantıların ve verilen bilgilerin iş yerinde çalışan tüm işçilerin bildiği aleni bilgiler olduğu ve tamamen duyuma dayalı olduğu, bu nedenle bu bilgilere ulaşım yolunun hukuka uygun olduğu, 
  • Bu bilgiler çerçevesinde iş yerinde çalışırken iş sözleşmesi sendikal nedenlerle feshedilen davacı işçi adına, davalı işveren aleyhine sendikal tazminat talepli işe iade davası açıldığı,
  • 4857 sayılı İş Kanununun (4857 sayılı Kanun) 20 nci maddesi ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun (6356 sayılı Kanun) 25 nci maddesinin 6 ncı fıkrası uyarınca iş sözleşmesinin sendikal nedenlerle feshedildiğinin ispat külfetinin işçiye (yani davacı müvekkiline) ait olduğu, Yargıtay’ın kararlarında da sendika üyesi olan, istifa eden ve baskıya uğrayan işçilerin somut olarak bu durumu ispatlamasının istendiği, yine Yargıtay’ın yerleşik kararlarına göre "...işçilerin birlikte hukuki işlemi aynı anda yapması, notere gitmesi, ihtarname çekmesi, sendika üyeliğinden istifa etmesi..." gibi işlemlerin işverenin yönlendirmesi ile yapıldığının karine olduğu,
  • Yargılama aşamasında sendikanın iş yerinde çalışan işçilerden sendika üyesi olanlara ve sonradan sendika üyeliğinden istifa edenlere ilişkin bilgi sunacağı ve varsa üyelik ve istifa fişlerini ibraz edeceği; şikâyetçinin hangi tarihte istifa ettiğinin dava dilekçesinde tarih olarak belirtilmediği, süreç olarak anlatıldığı, istifa tarihinin yasal zorunluluk olarak yargılama sırasında Çalışma ve Sosyal Güvenlik Bakanlığı ile sendikadan tezkere ile isteneceği,
  • Müvekkilinin iş sözleşmesinin sırf sendikal nedenlerle feshedilmiş olduğu, işyerinde yaşanan sendikal süreçte sendika üyelikleri tespit edilen işçilere, işveren tarafından yapılan baskılar sonucu bir kısım üye işçilerin de, sendika üyeliklerinden istifa ederek, işyerinde çalışmaya devam ettiklerinin tüm işçiler tarafından bilinen bir gerçek olduğu, dava dilekçesinde de şikâyetçi dahil bir kısım işçinin aynı dönemde işverenin baskısı ile istifaya zorlandıklarının belirtildiği, açılan davada dava dilekçesi ve eklerinin şikâyetçi işçiye gösterilmesinin işverenin halen işyerinde sendikal faaliyeti engellemeye çalıştığının açık bir göstergesi olduğu ve bu kapsamda şikâyetçinin başvurusunun da işverenin yönlendirmesiyle yapıldığı, 
  • Hukuka uygun elde edilen tüm aleni bilgilerin dava dilekçesinde paylaşılmasının kişisel verilerin hukuka aykırı paylaşımı anlamına gelmediği ve verilerin işlendiği iddialarının da geçerli olmadığı, dava dilekçesinin izah edilen süreç çerçevesince hazırlanmış olduğu ve gerçekleştirilen hukuki işlemlerin hiçbir aşamasında hukuka aykırı bir yol izlenmediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 16/09/2021 tarihli ve 2021/925 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükümlerinin yer aldığı,
  • 1136 sayılı Avukatlık Kanununun “Avukatlığın amacı” başlıklı 2 nci maddesinde; “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. Avukat bu amaçla hukuki bilgi ve tecrübelerini adalet hizmetine ve kişilerin yararlanmasına tahsis eder. Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekâletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.” hükümlerine yer verildiği,
  • 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı 119 uncu maddesinin (1) numaralı  fıkrasında ise dava dilekçesinde bulunacak hususların “… a) Mahkemenin adı. b)Davacı ile davalının adı, soyadı ve adresleri. c) Davacının Türkiye Cumhuriyeti kimlik numarası. ç)Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. d)Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri. e)Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri. f)İddia edilen her bir vakıanın hangi delillerle ispat edileceği. g)Dayanılan hukuki sebepler. ğ)Açık bir şekilde talep sonucu. h)Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.” şeklinde belirtildiği
  • Bu çerçevede, ilgili kişinin özel nitelikli kişisel verisi olan sendikalı olma bilgisinin veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere dava dilekçesine eklenmek suretiyle işlenmesinin ancak açık rızanın bulunması ya da Kanunlarda öngörülen hallerde mümkün bulunduğu,
  • Veri sorumlusu tarafından yazı ekinde gönderilen dava dilekçesinin incelenmesi neticesinde;  ilgili İş Mahkemesine sunulmak üzere hazırlanan dilekçede sendikal sürece ve işveren ile işçiler arasında mevcut olduğu iddia edilen anlaşmazlıklara yer verildiği, ilgili kişinin sadece ad ve soyadının sendikadan istifa eden işçilerden biri olarak açıkça yazıldığı, ilgili kişi dışında farklı işçilerin ad ve soyadlarının da ilgili dava dilekçesinde yer aldığı ve söz konusu durumun tespiti amacıyla sendikadan istifa beyanlarının celbinin talep edildiğinin görüldüğü,
  • Yargıtay 9. Hukuk Dairesinin E.2018/5445 K. 2018/17529 sayılı kararının gerekçe bölümünde  “… Dairemizce, sendikal tazminat davalarında ispat yükünün işçide olduğu hallerde, işyerinde çalışan ve sendikaya üye olan işçilerin sayısı, hangi tarihlerde üye oldukları, üyelikten çekilen işçilerin olup olmadığı, işyerinde çalışmakta olan işçilerin bulunup bulunmadığı, aynı dönemde yetki prosedürünün işletilip işletilmediği, işyerinde önceki dönemlerde toplu iş sözleşmelerinin bağıtlanıp bağıtlanmadığı, yeni işçi alınıp alınmadığı ve alınmışsa yeni işçilerin sendikalı olup olmadığı gibi hususlarla, işverence ekonomik veya teknolojik nedenlere dayalı bir fesih yoluna gidilmesi durumunda teknik yönden bu durumun araştırılması gibi ölçütler belirlenmiştir.”  hususlarına yer verilerek işveren tarafından gerçekleştirilen feshin geçersizliğine ve davacının işe iadesine karar verildiğinin görüldüğü,
  • 4857 sayılı İş Kanununun 20 nci maddesinin (2) numaralı  fıkrasının “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir. İşçi, feshin başka bir sebebe dayandığını iddia ettiği takdirde, bu iddiasını ispatla yükümlüdür” hükmünü haiz olduğu,
  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin (3)  numaralı fıkrasında ise “İşçiler, sendikaya üye olmaları veya olmamaları, iş saatleri dışında veya işverenin izni ile iş saatleri içinde işçi kuruluşlarının faaliyetlerine katılmaları veya sendikal faaliyette bulunmalarından dolayı işten çıkarılamaz veya farklı işleme tabi tutulamaz.” hükmüne; (5) numaralı  fıkrasında “Sendikal bir nedenle iş sözleşmesinin feshi halinde işçi, 4857 sayılı Kanunun (…) (2), 20 ve 21 inci madde hükümlerine göre dava açma hakkına sahiptir. İş sözleşmesinin sendikal nedenle feshedildiğinin tespit edilmesi halinde, 4857 sayılı Kanunun 21 inci maddesine göre işçinin başvurusu, işverenin işe başlatması veya başlatmaması şartına bağlı olmaksızın sendikal tazminata karar verilir. Ancak işçinin işe başlatılmaması halinde, ayrıca 4857 sayılı Kanunun 21 inci maddesinin birinci fıkrasında belirtilen tazminata hükmedilmez. İşçinin 4857 sayılı Kanunun yukarıdaki hükümlerine göre dava açmaması ayrıca sendikal tazminat talebini engellemez.” hükmüne, (6) numaralı fıkrasında ise “İş sözleşmesinin sendikal nedenle feshedildiği iddiası ile açılacak davada, feshin nedenini ispat yükümlülüğü işverene aittir. Feshin işverenin ileri sürdüğü nedene dayanmadığını iddia eden işçi, feshin sendikal nedene dayandığını ispatla yükümlüdür.” hükmüne yer verildiği,
  • Öncelikle işçi sendikalarının işçilerin ekonomik ve sosyal haklarını korumak ve geliştirmek amacıyla kurulan örgütler olduğu ve bir sendikanın toplu iş sözleşmesi imzalayabilmesi için 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu gereğince işkolu ve işyeri barajlarını geçmesi gerektiği, sendika özgürlüğünün, mevzuatımızda Anayasanın 51 inci ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 23 ila 25 inci maddeleri arasında yer alan düzenlemeler ile güvence altına alındığı, kişinin dilediği sendikaya üye olması veyahut üye olmaması, sendikal faaliyette bulunması veya sendika kurması gibi özgürlüklerin sendika özgürlüğü kapsamında olduğu,
  • Somut olayda konu edilen sendikal feshin ise, işçilerin bir sendikaya üye olmaları veya tam tersi işverenin istediği bir sendikaya üye olmamaları nedeniyle ya da sendikal faaliyetlere katılmaları nedeniyle işten çıkarılmalarını ifade ettiği, Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin, bu nedene dayalı olarak yapılacak fesihleri açık bir şekilde yasakladığı ancak yasağa rağmen yapılması halinde, iş sözleşmesi sendikal nedenle feshedilen kişinin dava açması gerektiği, açılan davada iş sözleşmesinin sendikal nedenlerle feshedildiğinin işçi tarafından ispat edilmesinin beklendiği
  • Şikâyete konu somut olayda, iş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında veri sorumlusu avukat tarafından açılan işe iade davasında ilgili kişinin ad soyadının ve sendikalı olduğu bilgisinin paylaşılmasının; somut olayın başka bir işçi lehine açılmış bir işe iade davası olması ve davanın sendikal faaliyet üzerine kurulmuş olması, ayrıca bu husustaki ispat külfetinin veri sorumlusu avukata ait olduğu davada, aynı işyerinde çalışan ilgili kişinin sendikalılıktan ayrılmış olma bilgisinin dosyayla ilgili olması sebebiyle Avukatlık Kanununun 2 nci maddesinde yer alan hüküm ve Hukuk Muhakemeleri Kanununun 119 uncu maddesi uyarınca işe iade dava dilekçesinde kullanmasının Kanunun 6 ncı maddesine aykırılık teşkil etmediği 

değerlendirmelerinden hareketle;

  • Şikayet dilekçesinde yer verilen iddiaların Kanuna aykırılık teşkil etmediği sonucuna  varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
09.09.2021: “İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi”
Karar Tarihi : 09/09/2021
Karar No : 2021/909
Konu Özeti : İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; bir avukat tarafından ilgili kişinin kardeşine ait borç için başlatılan icra takibi kapsamında, ilgili kişinin adresine İcra Müdürlüğü tarafından İcra ve İflas Kanununun (İİK) 89 uncu maddesinin (1) numaralı fıkrası gereği Birinci Haciz İhbarnamesi gönderildiği, icra dosyası kapsamında ilgili kişiye ait T.C. kimlik numarasının ve adresinin herhangi bir açık rıza ve aydınlatma onamı olmadan icra dairesine verildiği, veri sorumlusu avukata iadeli taahhütlü posta ile başvuru dilekçesi gönderildiği ancak başvurunun veri sorumlusuna iletilmesine rağmen başvuruya cevap verilmediği hususları ifade edilerek ilgili kişinin kişisel verilerini kanuna aykırı olarak işleyen ve rızası dışında kullanan veri sorumlusu avukat hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • Müvekkilinin şikâyet sahibi ilgili kişinin kardeşinden alacaklı olduğu; borçlu hakkında İcra Ceza Mahkemesi tarafından 3 ay tazyik hapsine karar verildiği; 
  • Borçlunun ikamet adresinin bulunamadığı; yapılan UYAP sorgularında MERNİS adresinin "bilinmiyor" olduğu; dolayısıyla müvekkilinin alacağını tahsil etmek amacıyla ne bir haciz yapılabildiği ne de bir tebligat gönderilebildiği;
  • İlgili kişinin kimlik bilgilerini, alacağını hiçbir şekilde tahsil edemeyen müvekkilinin kendisine verdiği; kendisinin de bu bilgileri İcra Müdürlüğünün dosyasına sunarak İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında Birinci Haciz İhbarnamesi gönderilmesini talep ettiği; 
  • İcra Müdürlüğünün devletin resmi bir kurumu olduğu, alacaklının veya vekilinin, haczi üçüncü kişilere bildirmek maksadıyla herkese İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesini talep etme hakkı olduğu; 
  • Avukatların, mesleğin gereği olarak, müvekkillerine ve hatta davanın muhatabı olan karşı tarafa ait bir takım kişisel verilere erişmesinin ve bu verileri yargı nezdinde kullanmasının doğal olduğu; 
  • İİK’nın 89 uncu maddesinin (1) numaralı fıkrası hükmü gereği takibin kesinleşmesi üzerine ve alacaklının talebi ile icra dairesinin, borçlunun üçüncü kişideki alacağının haczine karar vererek, haciz tutanağı düzenleyeceği ve bu haczi üçüncü kişiye bir haciz ihbarnamesi göndermek suretiyle bildireceği; bu ihbarnameye birinci haciz ihbarnamesi dendiği; 
  • Bu ihbarnamenin içeriğinin İİK’nin 89 uncu maddesinin (1) numaralı fıkrası ve İcra İflas Kanunu Yönetmeliğinin 42 nci maddesinde düzenlendiği: buna göre ilgili maddede "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin ..hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı... ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır." hükmüne yer verildiği
  • Kanunun alacaklıya veya vekiline sağlamış olduğu yasal hakkı kullanarak üçüncü kişi olan ilgili kişiye İİK’nin 89 uncu maddesinin (1) numaralı fıkrası çerçevesinde haciz ihbarnamesi gönderilmesinde hiçbir hukuka aykırılığın söz konusu olmadığı; gönderilebilmesi için üçüncü kişinin adresi ve kimlik bilgisinin olması gerektiğinin ilgili Yönetmelikte de belirtildiği  

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 09/09/2021 tarih ve 2021/909 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesi uyarınca kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği, 
  • İcra ve İflas Hukuku gereğince ifası talep edilen hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, “haciz”in; kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabildiği, 
  • Borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun 89 uncu maddesinin (1) numaralı fıkrasında "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır."  hükmü ile düzenlendiği,
  • İİK'nin 89 uncu maddesinin (1) numaralı fıkrası kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinin alacaklı ile vekili arasındaki vekalet ilişkisi gereğince veri sorumlusu avukatın, müvekkili adına ilgili kişinin kişisel verilerini icra dairesine sunmak suretiyle gerçekleştirdiği bu kapsamda söz konusu veri işleme faaliyetinin hem Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmüne hem de (e) bendinde yer alan “Bir hakkın tesisi, kullanılması, korunması için veri işlemenin zorunlu olması” hükmüne dayandığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu avukat tarafından icra dairesiyle izinsiz paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesi suretiyle alacaklı ve vekili arasındaki vekâlet ilişkisi gereğince alacaklı adına İcra Müdürlükleri nezdinde ilgili kişinin kişisel verilerinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan ‘Kanunlarda açıkça öngörülme’ ve ‘Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’ şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına,
  • Öte yandan ilgili kişinin, kişisel verilerinin alacaklı tarafından hukuka aykırı ele geçirilmiş olduğu yönünde bir düşüncesi varsa bunu alacaklı bakımından Türk Ceza Kanunu hükümleri kapsamında yargıya intikal ettirebileceğinin hatırlatılmasına,
  • Bunun yanı sıra veri sorumlusu avukatın kendisine yapılan başvuruya süresi içinde cevap vermediği anlaşıldığından ilgili kişilerin kişisel verilerine ilişkin Kanunun 11 inci maddesi kapsamına giren taleplerine yine Kanunun 13 üncü maddesi gereğince süresi içinde cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/847
Konu Özeti : İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin hesabına kayıtlı olan adreslerin silinmesine yönelik işlemlerin nasıl gerçekleştirileceğine dair sorusunun şirket yetkilisi tarafından fatura adreslerinin silinemeyeceği şeklinde cevaplandırıldığı; bu cevaba karşı ilgili kişinin yasal olarak kişisel bilgilerini istediği zaman istediği yerden silme hakkının mevcut olduğunu, bilgileri silinmezse hakkını yasal olarak aramak zorunda kalacağını belirttiği; bunun üzerine ilgili kişiye yetkili tarafından geçmiş dönem faturalardaki bilgilerinin silinemeyeceğinin iletildiği,
  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinde kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiğinin öngörüldüğü, faturaların 213 sayılı Vergi Usul Kanunu uyarınca gerekli vergi süreçlerinden kaynaklı saklama süresinin beş yıl olarak değerlendirilebileceği,
  • Satış sözleşmesi uyarınca müşteri tarafından gerçekleştirilen ödemeleri göstermek üzere müşteriye verilen bir ticari vesika mahiyetinde olan fatura kapsamında işlenen kişisel verilerin, sözleşmenin ifası esnasında tarafların yükümlülüklerini yerine getirdiğine yönelik bir dayanak oluşturmayı amaçladığı,
  • Bundan dolayı fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • 6098 sayılı Türk Borçlar Kanununca düzenlenen satış sözleşmesi kapsamında ifa edilen edimlere ilişkin bilgileri içeren faturanın, satış sözleşmesine aykırı davranışlarda ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıkların gündeme gelmesi halinde, hak kaybı yaşanmaması amacıyla on yıl süreyle saklanmasının mevzuatta öngörülen zamanaşımı süreleri ile doğru orantılı olduğu,
  • Dolayısıyla şirketlerince ilgili kişinin adres bilgilerinin güncellenmesine imkân verildiği; ancak geçmiş adres bilgilerinin detaylıca açıkladıkları mevzuat ve sözleşmesel ilişki gereği on yıl süre ile muhafaza edildiği,
  • Üyelerin serbest bir şekilde güncel adreslerinde değişiklik yapma hakkına sahip olduğu ancak geçmişte yapılan satış/hizmet alım sözleşmelerinin her biri ayrı birer kurulu sözleşme sayılacağı için söz konusu adreslerin sistemlerinde saklandığı, kullanılan adresin silinmesinin muhasebesel olarak siparişi alınmış ürün ile ilgili kayıtların da silinmesi anlamına geleceği, bu durumun tüketicilere sözleşme öncesinde sunulan “Üyelik Sözleşmesi”nin açıklamalar kısmında da sabit olduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/847 sayılı Kararı ile;

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrası uyarınca kişisel verilerin işlenmesinde: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğu,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünün, (2) numaralı fıkrasında ise “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün düzenlendiği,
  • 213 sayılı Vergi Usul Kanununun 230 uncu maddesinde faturada bulunması gereken bilgiler arasında müşterinin adresinin de yer aldığı, bununla birlikte, 213 sayılı Kanunun 253 ve 254 üncü maddeleri uyarınca fatura belgelerinin beş yıl süre ile muhafaza edileceğinin düzenlendiği,
  • Veri sorumlusu tarafından ise faturanın 6098 sayılı Türk Borçlar Kanununda düzenlenen satış sözleşmesine ilişkin bir sürecin parçası olduğu; satış sözleşmesine aykırı davranışlardan ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıklara on yıllık genel zamanaşımı süresinin uygulanacağı, fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından olan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • Bu kapsamda, adres bilgisinin hem fatura belgesi hem de satış sözleşmesinde olduğu gibi birden fazla amaca ve hukuki sebebe dayanarak işlenebileceği, farklı veri işleme faaliyetlerindeki aynı kişisel veriler için öngörülen saklama sürelerinin farklı olabileceği, bu doğrultuda, ilgili kişinin fatura belgeleri ve dolaylı olarak üzerinde yer alan adres bilgilerinin işlenmesi için geçerli bir işleme amacı ve hukuki gerekçenin bulunduğu, ayrıca veri sorumlusu tarafından belirlenen on yıllık saklama süresinin Türk Borçlar Kanununun 146 ncı maddesinde yer alan “Kanunda aksine bir hüküm bulunmadıkça, her alacak on yıllık zamanaşımına tabidir.” hükmü uyarınca mevzuatta öngörülen en uzun süreye uygun olarak belirlendiği, bu kapsamda veri sorumlusunun yazısı ekinde yer alan dokümanlar incelendiğinde ilgili kişiye ait 2012, 2016, 2018 ve 2021 tarihli fatura belgelerinin bulunduğunun görüldüğü, her bir fatura belgesi tarihinin ayrı olarak değerlendirilmesi sonucunda fatura belgeleri ve dolaylı olarak adres bilgileri için veri sorumlusu tarafından belirlenen saklama süresinin henüz tamamlanmadığının anlaşıldığı, 
  • Bununla birlikte, ilgili kişinin bireysel hesabının ekran görüntüsü incelendiğinde; “Profil Bilgilerim” sayfasının “Fatura Adres Bilgilerim” başlığı altında varsayılan adres olarak bir adresin seçilebildiği ve adres üzerinde “Düzenle” ve “Sil” olmak üzere iki seçeneğin yer aldığı, “Diğer Kayıtlı Adresler” başlığı altında ise adresler üzerinde “Varsayılan Yap”, “Düzenle” ve “Sil” şeklindeki seçeneklerin yer aldığının görüldüğü, ancak, veri sorumlusunca söz konusu seçeneklerin yer almasına rağmen fatura adresi olarak kullanılmış adres bilgilerinin fatura belgeleri ile ilişkilendirilmesi sebebiyle ilgili kişinin hesabında “Profil Bilgileri” altında belirlenen saklama süresi boyunca yer almaya devam edeceği ve üzerinde bir işlem yapılamayacağının belirtildiği,
  • Satış sözleşmesi kapsamındaki anlaşmazlıklara yönelik fatura belgelerinin saklanması ile söz konusu fatura adresi bilgilerinin ilgili kişinin bireysel hesabında da saklanmasının iki farklı veri işleme faaliyeti olduğu, veri sorumlusu tarafından belirtilen saklama süresinin ilgili kişiye ait fatura belgeleri veya satış sözleşmesinin saklanması için geçerli olduğu, bununla birlikte kullanıcıların bireysel hesaplarına kaydettikleri adres bilgileri üzerinde silme, güncelleme gibi çeşitli düzenlemeleri yapma hakkına sahip olduğu ve bu alanda güncel olan adres bilgilerinin yer almasının ilgili kişinin sorumluluğunda olduğu, 
  • Ancak veri sorumlusunun da verilerin doğru ve güncel olmasını sağlayabilecek imkânları ilgili kişilere sağlaması gerektiği, güncel olmayan adres bilgilerinin bireysel hesap üzerinde de saklanması ve fatura adresi olarak kullanılmaları gerekçesiyle bu adres bilgileri üzerinde herhangi bir işlem yapılamamasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendi uyarınca kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği 

değerlendirmelerinden hareketle;

  • İlgili kişinin fatura belgelerinin veri sorumlusunun Türk Borçlar Kanunundan kaynaklanan yükümlülükleri kapsamında on yıl saklanabileceği, bununla birlikte bireysel hesap üzerinde güncel adres bilgilerinin bulunması gereken alanda hâlihazırda kullanılmayan adres bilgilerinin de yer aldığı ve bu adres bilgileri üzerinde ilgili kişiler tarafından herhangi bir işlem yapılamadığı dikkate alındığında Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesinin yerine getirilebilmesi ve bu kapsamda kişisel verilerin güncellenmesine/imha edilmesine ve güncel olmayan kişisel verilerin ilgili kişilere gösterilmemesine imkân sağlayacak kanalların oluşturulması ile imha edilen/edilmesi istenen kişisel verilerin saklama amacı dışında kullanılmamasına ilişkin gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

03.09.2021: “İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması”
Karar Tarihi : 03/09/2021
Karar No : 2021/889
Konu Özeti : İlgili kişinin, bir spor tesisi tarafından açık rıza alınmaksızın kendisinin yer aldığı müsabakaların kaydedilip yayınlanması

 

İlgili kişinin Kuruma intikal eden ihbar başvurusunda özetle; Türkiye genelinde halı saha işletmeciliği alanında faaliyet gösteren veri sorumlusunun, spor tesislerinde görüntü kaydı yapmakta olduğu, ancak görüntü kaydının tesislerde spor yapanların rızaları alınmaksızın yapıldığı, bu nedenle söz konusu faaliyetin yasalara açıkça aykırılık teşkil ettiği, kayıtların veri sorumlusunun internet platformunda da yayınlandığı, bu uygulamanın kişilerin mahrem hayatını ihlal ettiği belirtilerek Kurum tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • İlgili kişinin İstanbul ….. Tesisinde kendisinin de yer aldığı bir futbol maçında kaydedilen görüntülerinin yayından kaldırılmasını talep ettiği, söz konusu talebin kendilerine ulaşmasının ardından derhal silinmesi için talepte bulunan 2 adet maç kaydının yayından kaldırıldığı,
  • Maçlardan önce maç kaydı alınmaması yönünde bir talebin gelmesi halinde söz konusu taleplerin derhal yerine getirildiği ve ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı,
  • Maçların 2016 yılından itibaren kayıt altına alındığına ve daha sonra izlenebileceğine ilişkin bilgilendirme brandalarının tesislere asıldığı ve brandaların eskidikçe yenilendiği, tesislerin kafe, soyunma odası ve koridor gibi sosyal alanlarında da poster ve afişlerle tesiste oynanan maçların yayınlandığı hususunun tesise gelen her ziyaretçinin kolaylıkla fark edebileceği şekilde açıkça duyurulduğu, ilgili kişilerin bu yolla aydınlatılmış olduğu,
  • İlgili kişinin Kuruma yaptığı başvuru tarihindeki yayın ve imha politikalarınca kullanıcıların tesislerde yapılan bilgilendirmeler sayesinde diledikleri takdirde maç kaydının alınmamasını kolaylıkla sağlayabildikleri, internet sitesinde yayınlanan tüm maç yayınlarının sadece 15 gün yayında kaldığı, sonrasında ise geri döndürülemeyecek şekilde imha edildiği, her maç videosunun altında yer alan bildir butonu aracılığı ile maç videosunun yayından kaldırılması talebinde bulunulabildiği, buna ek olarak halı saha işletmecilerinden gelen talepler ve kişilerden gelen mesajlar üzerine de yayınların derhal yayından kaldırıldığı, ayrıca kişisel verilerin hiçbir şekilde yurtdışına aktarılmadığı,
  • Kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı,
  • Kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığı

ifade edilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2021 tarihli ve 2021/889 sayılı Kararı ile;
 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünün yer aldığı,
  • Öte yandan Kanun çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın alınmasının şekil şartına bağlı olmadığı, açık rızanın elektronik ortam ve çağrı merkezi gibi yollarla alınmasının da mümkün olduğu, ancak burada ispat yükümlülüğünün veri sorumlusuna ait olduğu, 
  • Somut olayda veri sorumlusu tarafından; kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığının ifade edildiği, söz konusu ifadeden, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, somut başvuru tarihinde de aynı şekilde bu tip bir uygulamanın henüz hayata geçirilmemiş olduğunun anlaşıldığı,
  • Bu hususa paralel şekilde, somut olay tarihinde ilgili kişilerden açık rıza alındığına ilişkin veri sorumlusu tarafından herhangi bir tevsik edici bilgi veya belgeye cevabi yazı ekinde yer verilmediğinin görüldüğü,
  • Veri sorumlusu tarafından kayıtlarının düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı ifade edilmiş olmakla birlikte, somut olayda veri sorumlusuna ait internet sitesinde yayınlanan kayıtlar incelendiğinde, kayıtlarda görüntüleri yer alan kişilerin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin verilerinin, bu bireylerin özgün bir şekilde teşhis edilmesini sağlayabilecek nitelikte oldukları 

değerlendirmelerden hareketle;
    

  • İlgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği dikkate alındığından veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılması nedeniyle, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Öte yandan, söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında, bu yönde gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

12.08.2021: “İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi”
Karar Tarihi : 12/08/2021
Karar No : 2021/799
Konu Özeti : İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; uluslararası geçerliliği olan bir dil sınavı konusunda ilgili akredite kuruluşun düzenlemiş olduğu sınava girdiği, bu sınav öncesinde herhangi bir veri işleme şartına dayanmaksızın ilgili kişiye ait özel nitelikli kişisel verisi olan görsel kaydının (biyometrik fotoğraf) ve parmak izinin alındığı, giriş kaydının alternatif yollarla sağlanmasının mümkün olduğu, bu kapsamda bahsi geçen kuruluşa başvuruda bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamındaki hakları ve kişisel verilerinin saklama süresi sona erince ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunduğu, ancak başvurusunun haksız ve mesnetsiz gerekçelerle reddedildiği, kuruluşun söz konusu uluslararası dil sınavına ilişkin olarak Türkiye’deki süreçleri yürüten ve çeşitli uluslararası kurum ve kuruluşların yetkilendirdiği bir tüzel kişilik olduğu, bu kapsamda sınava katılan adayların kişisel verilerinin yurt dışına aktarılmasının kaçınılmaz olduğu ancak aktarım hakkında bilgilendirilmediği, diğer taraftan iletişim bilgilerinin de reklam ve pazarlama amaçlı olarak açık rızası alınmaksızın ve aydınlatma yükümlülüğü yerine getirilmeksizin hukuka aykırı olarak işlendiği hususları ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik ilgili şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • Öncelikle ilgili kişinin başvurusunda ad-soyad bilgisinin hatalı yazılmış olması sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe (Tebliğ) uygun olarak taraflarına başvuru yapılmadığı,
  • Sınava başvuran adaylardan kimlik bilgileri (adı, baba adı, ana adı, doğum yeri, doğum tarihi vatandaşlık numarası, kimlik seri no, kimlik geçerlilik tarihi), iletişim bilgileri (iletişim adresi, e-posta adresi, telefon numarası, ülke, şehir, posta kodu, ilçe), login ve kullanıcı adı, cinsiyeti, banka hesap bilgileri, engellilik durumu, sağlık raporu, dijital fotoğrafı,  dijital parmak taraması ve el yazısı verilerinin alındığı,
  • İlgili kişi tarafından iddia edildiğinin aksine taraflarınca biyometrik değil çehre görüntüsü gibi herkes tarafından bilinen, görünen ve kamuya açık dijital vesikalık fotoğrafının hizmet ilişkisi kapsamında kayıt altına alındığı, bahse konu verilerin, sınava girmek isteyen kişinin kaydının oluşturulması ve sınav sürecinin yönetilmesi için alınmasının zorunlu olduğu, dolayısıyla bu verilerin şirketleri ve sınava girecek kişiler arasında 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgilerden olduğu ve ilgili kişinin açık rızasına tabi olmadığı, 
  • Parmak tarama kayıtlarının ise sınav güvenliği ve kimlik doğruluğunu sağlamak adına alınmasının şart olduğu, bu kayıtların yurt içi ya da yurt dışına aktarılmadığı, bu sistemin hizmet kalitesini standart hale getirmek amacıyla tüm dünyada söz konusu dil sınavını yapan merkez tarafından zorunlu tutulduğu, küresel olarak belirlenmiş olan bahse konu dil sınavının Güvenlik Protokollerine tüm yetkili sınav uygulayıcılarının uymakla yükümlü olduğu, parmak izi taramasının parmak izi şeklinde olmadığı, "görüntü kaydı" yöntemiyle alındığı ve yalnızca eşleştirme yapıldığı, parmak izi taramasında mürekkep, sıvı ya da herhangi bir kimyasal içermeyen elektronik tarayıcı kullanıldığı, parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, kişilerden açık rıza alınmadığı takdirde parmak tarama kayıtlarının işlenmediği, buna ilişkin gerekli bilgilendirmenin ilgili kişilere yapılarak açık rızalarının olup olmadığının öğrenildiği, 
  • Bu kapsamda, sınava girecek adaylardan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin toplandığı, özel nitelikli kişisel veriler bakımından ise adaylardan rızalarının alındığı,
  • Kişisel verilerin işlenmesi sürecinde Kanunun 10 uncu maddesi kapsamındaki aydınlatma yükümlülüğü ile ilgili olarak, gizlilik politikası ve kullanım koşulları metinleri ile toplanan kişisel verilere ilişkin bilgilendirme sağlamak adına söz konusu metinlerin internet sitesinde yayınlandığı, internet üzerinden sınav başvurusunda bulunan kişilerin üyelik formunu doldurmak zorunda oldukları ve bu esnada ilgili metinlere link verildiği, internet üzerinden başvuru yapmayan adaylara ise iletişim adreslerine söz konusu link ve metinlerin gönderildiği,
  • Öte yandan söz konusu sınava girişte elde edilen kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışından bulunan bir başka kuruluşun sorumlu olduğu, Türkiye’de kurulu bulunan şirketin tüm çalışma, pazarlama ve işletme esaslarının kurucu şirket tarafından belirlendiği,
  •  Elde edilen kişisel verilerden, kişinin kimlik ve iletişim bilgilerinin, pasaport bilgilerinin, login ve kullanıcı adı, ülke, şehir, posta kodu, ilçe, cinsiyet, dijital fotoğraf bilgilerinin yurt içi ve yurt dışı ile paylaşıldığı, yurt içi/yurt dışı aktarımların yalnızca topluluk şirketleri ile yapıldığı, şirketin her türlü işlem ve ilişkilerinde yurt dışı merkezli topluluk şirketlerine bağlı olması sebebiyle söz konusu paylaşımın hizmetlerin ifası bakımından şart olduğu, dil sınavının uygulaması ve hazırlanmasında ancak kendisine tanınan yetki sınırları içerisinde hareket edebildiği ve sözleşme kapsamında bağlı olduğu şirketlere aktarım yapmakla yükümlü olduğu, adayın talep ettiği hizmeti almasında bu aktarımın önem arz ettiği, edimin ifa edilmesi adına dil sınavı test ortaklarının bu bilgilere sahip olmak zorunda oldukları, verilerin aktarıldığı topluluk şirketlerinin GDPR’a tabi olduklarından güvenli ülke oldukları, 
  • Özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının ise yurt dışına aktarımının söz konusu olmadığı,
  • Sınav adaylarıyla yapılan görüşmeler esnasında adaya gönderilen ve imzalattırılan gizlilik ile kullanım koşulları metinlerinde yurt dışına aktarıma ilişkin bilgilendirme yapıldığı, verilerin aktarımı öncesinde mutlaka adaylardan rızalarının alındığı,
  • Sınava girecek adayın sınav yeri ve sonuç bilgilerini öğrenme hakkı kapsamında e-posta adres bilgilerinin alındığı, bu kapsamda ilgili bilgilerin gönderildiği, ticari iletilerle ilgili olarak ise “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”in 6 ncı maddesi hükmü uyarınca temin edilen hizmetler kapsamında gönderilecek ticari iletiler bakımından tekrar onay alınması gerekmediği, 
  • Kişisel verilerin saklanma ve imhasına ilişkin olarak politikalarının bulunduğu, buna göre toplanan kişisel bilgilerin artık gerekli olmadığında, kişisel bilgilerin bir kopyasının saklanmayacağı veya bilgilerin yasalar tarafından gerekmedikçe imha edilmesi ve kimlik giderme politikasına uygun olarak yok edilmesinin, güvenli şekilde silinmesinin veya bilgilerin tanımlanmasının sağlanacağı, bilgilerin dil sınavı veya sınav hazırlama amaçları için toplanması halinde, sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten sonra 3 yıla kadar saklanacağı,  parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı 

ifade edilmiştir. 

Bu kapsamda, kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu iddia edilen yurt dışında yerleşik bulunan şirkete de şikâyet dilekçesindeki iddialara yönelik olarak bilgi verilerek açıklamaları istenilmiş olup, bu kapsamda yurt dışında yerleşik bulunan şirketçe verilen cevabi yazıda özetle; 

  • Dil sınavının arka planına ve bağlamına ilişkin açıklamalara yer verildikten sonra, şikâyete konu (Türkiye’de bulunan) akredite kuruluşun yurt dışında yerleşik bulunan şirketlerinin iştiraki konumunda olduğu ve sınav ortakları tarafından ortaklaşa belirlenen ve Test Merkezleri Sözleşmesinde belirtilen şartlar altında çalışmakla yükümlü olduğu, 
  • Bahsi geçen ortakların sınava ilişkin şartları ve koşulları, gizlilik bildirimini ve kimlik doğrulama süreçleri dahil olmak üzere gereksinimleri ortaklaşa belirledikleri,
  • Katılan için önemli sonuçları olan bir sınav olması sebebiyle, sınava giren kişinin kimliğinin kesin olarak doğrulanabilmesinin ve sonucunun sınava giren kişiyle ilişkilendirmesinin hem sınav katılımcılarının hem de kuruluşların yararına olduğu, buna göre, kimlik doğrulaması ve sınav günü fotoğrafının, sınava girenlerin sonuç formunda gösterilen sonuçlara ulaşan kişi olduklarını kanıtlamalarını sağladığı,
  • Parmakla taramaya ilişkin olarak; test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimatlarının bulunduğu, Türkiye'de alternatifin sunulmadığı bir dönemin bulunduğu ancak Mart 2020'den itibaren Türkiye'deki şirketin uygulamasının parmak taraması yaptırmak istemeyen sınav katılımcılarına bir alternatif sunulması gerektiği yönünde olduğu, ancak bunun her zaman böyle olmadığı bu sebeple bunu düzeltmek için adımlar attıkları, 
  • Parmak taramasını içeren mevcut sürecin, aynı kişinin sınavın tüm bölümlerini aldığını teyit etmek ile sınav katılımcısının gizlilik hakları arasında en iyi dengeyi sağladığından seçildiği, 
  • Parmak izlerinin resimlerinin alınmadığı veya saklanmadığı, yalnızca baskının aynı kişiden olduğunu doğrulamak için kullanılabilen, ancak parmak izi görüntüleri olarak çoğaltılamayan İkili Büyük Nesne Dosyaları (BLOB) olarak adlandırılan sayısal dizeler şeklinde tutulduğu, bu dosyaların da yalnızca sınav merkezinin bilgisayar ekipmanında yerel olarak tutulduğu ve 60 gün sonrasında silindiği, yurt dışına aktarılmadığı, Türkiye’de, Mart 2020'den itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulduğu ve Covid riski nedeniyle de o zamandan beri parmak taramasının hiç kullanılmadığı,
  • Bir yan kuruluşu olarak Türkiye’deki iştiraklerinin rolünün, dil sınavının Türkiye'de test merkezlerinde sunulmasının sağlanması şeklinde olduğu,
  • Tüm ülkelerdeki sınav katılımcılarından parmak taramalarının talep edildiği ancak bunun zorunlu olmadığı, alternatif olarak kayıt kimliğinin manuel olarak kontrol edilmesinin de mevcut olduğu, 
  • Bazı kişisel verilerin Gizlilik Bildiriminde açıklandığı üzere veri sorumlusuna aktarıldığı, ancak bu bilgilerin her kişi için toplanmadığı, sınava girme nedenine ve seçilen sınavın türüne bağlı olarak değiştiği, parmak taramasının ise yurt dışına aktarılmadığı, 
  • Yurt dışına aktarmak için ilgili kişilerin açık rızasının alındığı, Kurulun, taraflarının Kanuna ilişkin yorumlarına katılmaması halinde, özellikle "Yeterli Ülkelerin" herhangi bir onayı yoksa transfer için Kurul onayı alma sürecine katılabilecekleri

beyan edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/08/2021 tarih ve 2021/799 sayılı Kararı ile;

Veri sorumlusu sıfatının belirlenmesi açısından; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun Tanımlar başlıklı 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı; veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, Kurumun internet sitesinde yayınlanan veri sorumlusu-veri işleyen rehberine göre veri işleyenin ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olduğu; bu kişilerin, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi olduğu; bu kapsamda, Türkiye’deki dil sınavlarında iştiraki olarak görev yapmakta olan şirketin ve yurt dışı merkezli şirketten alınan bilgi, belge ve beyanların değerlendirilmesi neticesinde, Türkiye’deki şirketin dil sınavının Türkiye’de uygulanmasında yetkili kılınan bir tedarikçi olduğu, sınavın uygulanmasına dair hizmet sözleşmesi kapsamında yurt dışı merkezli şirketin emir ve talimatlarıyla bağlı olduğu öte yandan adaylardan elektronik ortamda alınan kayıtların tutulduğu elektronik sistemin yurt dışındaki şirkete ait olduğu ve Türkiye’deki şirketin söz konusu sisteme erişim imkanı olmadığı, bu minvalde bahse konu sınav hizmetinin sağlanması noktasında adaylardan/ilgili kişiden edinilen sınava ilişkin genel nitelikteki kişisel verilerin işlenmesi noktasında veri işleyen sıfatını haiz olduğu,
  • Diğer taraftan, sınav güvenliğinin sağlanması noktasında adaylardan sınava giriş esnasında kimliklerinin doğrulanmasını teminen alınan parmak taraması uygulamasının Mart 2020’ye kadar Türkiye’de zorunlu olarak yapıldığı ancak bu tarihten itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulmasına yönelik test merkezlerine talimat verildiğinin beyan edilmesi ve şikâyete konu ilgili kişinin parmak tarama kayıtlarının 2018 yılında alındığı hususları birlikte değerlendirildiğinde, somut olay açısından Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu, bununla birlikte her ne kadar Mart 2020 tarihinden itibaren ve günümüz itibariyle adaylara, verilerinin işlenmesi noktasında seçenek sunulması talimatının verildiği ifade edilse de şikâyet tarihi itibariyle parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, somut olay açısından Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,

İlgili kişinin başvurusunun reddedilmesi açısından; 

  • İlgili kişinin Türkiye’deki şirkete yaptığı başvuruda ad-soyad bilgisini bir harf eksik olarak yanlış yazdığı ancak ilgili kişinin ad-soyad bilgisi kişi tarafından bir harf eksik olarak yazılmış olsa da kişinin kimliğinin teyit edilmesini sağlayacak T.C. kimlik numarasının tam olarak iletildiği diğer taraftan şirket ile yapılan yazışmalarda ilgili kişinin ad ve soyadının verilen cevap e-postalarında tam olarak görüntülenebildiği dolayısıyla söz konusu e-posta adresinin şirketin sisteminde kayıtlı olduğu anlaşılmış olduğundan bir harf sebebiyle ilgili kişinin başvurusunu reddetmesinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin  6 ncı maddesinde belirtilen dürüstlük kuralına uygun olmadığı,
  • Diğer taraftan, ilgili kişinin Kanunun 11 inci maddesi kapsamında bilgi edinmeye yönelik taleplerine, talebi olmayan bir içerikle Tebliğin 6 ncı maddesine uygun olmayacak bir şekilde cevap verildiği bu anlamda ilgili kişinin taleplerinin yanıtsız bırakıldığı, bununla birlikte ilgili kişinin başvurusunda yer alan taleplerini veri sorumlusu adına cevaplayabileceği dikkate alındığında veri işleyenin Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermediği, 

İlgili kişinin görsel kaydının ve parmak izinin herhangi bir veri işleme şartına dayanmaksızın alındığı iddiası açısından; 

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a) Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b) Belirli, açık ve meşru amaçlar kapsamında, 
    c) Doğru ve gerektiğinde güncel olma şartıyla, 
    ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
    ilkelerine uygun olarak işlenebildiği, bu ilkelerden, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi”nin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını öte yandan sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak da veri işlenmesi yoluna gidilmemesini içerdiği,
  • Ölçülü olma ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını, diğer bir deyişle veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade ettiği, bu kapsamda, veri sorumlusunun amacı çerçevesinde ölçülü olma ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi bunun dışında, amaç için gerekli olmayan kişisel verilerin işlenmesi faaliyetinden kaçınması gerektiği,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinde  “…(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği,
  • Somut olayda, sınavın güvenirliliğinin ve güvenliğinin sağlanması noktasında 2020 Mart dönemi öncesinde, adaylardan parmak taramalarının alınmasında ilgili kişiden/adaylardan alternatif yollar yerine açık rızalarının alınması yoluna gidildiği dolayısıyla Kanunun 4 üncü maddesinde yer alan “ölçülü olma” ilkesine aykırı davranıldığı, 
  • Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu anlaşıldığından şikâyete konu somut olay açısından 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği, 

İlgili kişinin kişisel verilerinin yurt içi ve yurt dışına aktarılmasına ilişkin bilgilendirilmediği iddiası hakkında: 

  • Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümlerinin düzenlendiği, 
  • Taraflardan alınan savunma yazılarında ve internet sitelerinde yapılan incelemede kişisel verilerin yurt dışına aktarımına açık rıza verilmesi gerektiği, açık rıza verilmemesi halinde sınav hizmetinin ifa edilemeyeceği, hizmetin ifası için söz konusu kişisel verilerin test ortaklarına aktarılmasının zorunlu olduğunun beyan edildiği ancak  genel nitelikli kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgiler olduğu ve adayların açık rızasına tabi olmadığı bununla birlikte aktarımın adayların açık rızaları kapsamında yapıldığının anlaşıldığı, 
  • Ayrıca, gerek internet sitesinde gerekse sunulan bilgi ve belgelerde açık rızanın sadece yurt dışına aktarıma yönelik olarak alınmadığı, yurt dışına aktarıma ilişkin rızanın sınava ilişkin diğer koşulların da yer aldığı “şartlar ve koşullar” metnine istinaden hizmetten faydalanmanın şartı olarak alındığı, somut olaya konu olan ilgili kişinin onayının da aynı şekilde alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtların tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği ve yurt dışı ile yürütülen görüşmeler neticesinde ilgili kişiye ait bahse konu kayıtların imha politikasına uygun  şekilde yok edildiği bilgisini aldığı,
  • Bu itibarla, hizmetin ifası kapsamında zorunlu olarak alınması gereken genel nitelikteki kişisel verilerin yurt dışına aktarılmasında açık rızanın sınava ilişkin şartlar ve koşulların yer aldığı metinler aracılığıyla genel olarak alınmasının açık rızayı sakatlayacağı dikkate alındığında; yurt dışına aktarımın Kanunun 9 uncu maddesinin (1) numaralı fıkrası gereğince açık rıza kapsamında yapılmaya devam edilmesinin tercih edilmesi halinde açık rızanın Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak şartıyla yurt dışına aktarım özelinde münferiden alınması gerektiği ya da açık rıza almak yerine Kanunun 9 uncu maddesinin (2) numaralı fıkrası uyarınca "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" kapsamında yurt dışına aktarılmak istenmesinin tercih edilmesi halinde ise Kanunun 9 uncu maddesinin (1) numaralı fıkrasına uygun bir taahhütnamenin hazırlanarak Kurulun onayına sunulması gerektiği,

Reklam ve pazarlama içerikli e-postalara rıza vermediği ve bu konuda aydınlatılmadığı iddiası açısından;

  • Konu hakkında ilgili kişinin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığı sonucuna varıldığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Türkiye’deki şirketin sisteminde kayıtlı olduğu ve ilgili kişinin kimliğinin tespit edilebileceği anlaşılmış olduğundan bir harf sebebiyle “…başvurucu ismi kayıtlarımızda bulunamamıştır…” şeklinde ilgili kişiye cevap verilmesinin Tebliğin 6 ncı maddesinde belirtilen dürüstlük kuralına uygun olarak değerlendirilmemesi sebebiyle Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda uyarılmasının, 
  • Diğer taraftan ilgili kişinin taleplerinin Türkiye’deki şirket tarafından yanıtsız bırakıldığı göz önüne alındığında ise ilgili kişinin başvurusunda yer alan taleplerini veri işleyenin veri sorumlusu adına cevaplayabileceği dikkate alındığında, veri işleyenin bu talepleri detaylı şekilde yanıtlaması ve sonucundan Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına, 
  • Sınava girişlerde parmak taraması kayıtlarının alınması uygulamasına ilişkin veri sorumlusu tarafından test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimat verildiğinin belirtildiği, Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu zira bu uygulamanın Türkiye’de Mart 2020'den itibaren değiştirildiği ve parmak taramasına alternatif bir kimlik doğrulama sisteminin sunulduğunun beyan edildiği, şikâyete konu somut olay açısından ise 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında sayılan tedbirlerin alınmadığı kanaatine varıldığından, yurt dışı merkezli veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Türkiye’de sınava girişte kimlik doğrulaması amacıyla adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması, bu kapsamda veri işleyen başta olmak üzere Türkiye’deki yetkili test merkezlerinin bu sisteme uymasının sağlanması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikayet dilekçesinde Kurula ilettiği “reklam, pazarlama ve tanıtım amaçlı maillerin geldiği, bu işleme faaliyetine rıza vermediği ve söz konusu işleme faaliyeti konusunda aydınlatılmadığı” iddialarına ilişkin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığının değerlendirilmesi sebebiyle, veri sorumlusunu muhatap başvurusunda talep etmediği, ancak Kurula yaptığı başvuruda talep ettiği konuların inceleme sürecine dahil edilmediği hususlarında ilgili kişiye bilgi verilmesine

karar verilmiştir.

06.07.2021: “İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/670
Konu Özeti : İlgili kişinin veri sorumlusuna yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi

 

Kuruma intikal eden şikâyet dilekçesinde, ilgili kişinin veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunduğu, bu sebeple söz konusu internet sitesi üzerinden kişisel verilerini içerir bilgileri veri sorumlusuyla paylaştığı, başvurunun akabinde mülakata alındığı ancak mülakat neticesinde başarılı olamadığı, bu sebeple de veri sorumlusuyla kişisel verilerini paylaşması anlamında bir neden kalmadığı, bu bağlamda söz konusu internet sitesine girerek oluşturduğu özgeçmişi sildiği, akabinde veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına telefon ve e-posta yoluyla veri sorumlusuna başvuruda bulunduğu, ancak ilgili kişinin başvurusuna istinaden veri sorumlusu tarafından e-posta yoluyla yapılan bilgilendirmede ilgilinin kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı bilgisinin tarafına iletildiği ifade edilerek, veri sorumlusuna ilişkin herhangi bir iş talebi, ilgisi ya da ilişiği olmadığını iletmesine rağmen kişisel verilerinin veri sorumlusu tarafından silinmemesi nedeniyle Kuruma şikayette bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin söz konusu internet sitesi aracılığıyla iş başvurusunda bulunduğu, gerek sitede doldurduğu form aracılığıyla gerekse daha sonraki süreçlerde bankalarına yazılı olarak bildirdiği ve ilgili kişiyle gerçekleştirilen mülakatlar esnasında beyan ettiği kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesine uygun şekilde kendisine gerekli aydınlatmalar yapılarak işlendiği, 
  • Söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" hukuki sebebi kapsamında ilgili kişinin iş başvurusunun incelenebilmesi ve iş sözleşmesinin kurulabilmesi için gerekli olan bilgilerin temini, işe yeterlilik değerlendirmesi ve sair testlerin yapılabilmesi; (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin başvurulan pozisyona uygunluğunun incelenebilmesi, iletilen bilgilerin doğruluğunun teyit edilebilmesi, gerekli mülakatların yapılabilmesi ve (f) bendine yer alan "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin şirket prensiplerine uygunluğunun değerlendirilebilmesi, diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği,
  • Veri sorumlusu tarafından yapılan değerlendirmeler sonrasında ilgili kişinin iş başvurusunun kabul edilmemesinin akabinde; yukarıda sayılan amaçlarla işlenen kişisel verilerin, ilgili kişinin talebi üzerine Kanunun 7 nci maddesine uygun olarak işleme amacının ortadan kalkması sebebi ile silindiği ancak söz konusu kişisel verilerden yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirilmesine esas genel gerekçesinin muhafaza edildiği, bu verilerin muhafaza edilmesindeki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, zira bu şekilde sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı ve bu saklama amacının ilgili kişinin Kanunun 11 inci maddesi uyarınca yaptığı başvurusunda ilgili kişiye iletildiği,
  • İlgili kişinin ikinci başvurusunda, isim-soy isim ve kimlik bilgisi verilerinin de silinmesini talep ettiğinin anlaşıldığı, ilgili kişinin kişisel verisi üzerindeki tasarruf yetkisinin öncelikli olduğu düşüncesinden hareketle ilgili kişinin isim-soy isim ve kimlik bilgilerinin de silinmesi kararının alındığı ve ilgili kişiye kişisel verilerinin ilk periyodik imha işleminde silineceği bilgisinin iletildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/670 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7 nci maddesinin “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmünü amir olduğu, bu çerçevede, Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin yürürlüğe girdiği, 
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun ifade edildiği,
  • Yönetmelik kapsamında kişisel verilerin silinmesinin iki şekilde düzenlendiği, ilk olarak kişisel verilerin veri sorumlusunca resen silinmesi haline, ikinci olarak da kişisel verilerin ilgili kişinin başvurusu kapsamında silinmesi haline ilişkin düzenleme yapıldığı,
  • Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri başlıklı” 11 inci maddesinin ‘‘(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.’’ hükmünü haiz olduğu,
  • Ayrıca aynı Yönetmeliğin, kişisel verilerin ilgili kişinin talebi çerçevesinde silinmesini düzenleyen ‘‘Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri’’ başlıklı 12 nci maddesinde de; 
    ‘‘(1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
    b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
    c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
    ’’ düzenlemesinin yer aldığı,
  • İlgili kişinin kendisine ait kişisel verilerin silinmesi hususunda veri sorumlusuna ilettiği talebin, karşılanmaması iddiasına ilişkin olarak veri sorumlusundan alınan cevabi yazıda ilgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c), (e) ve (f) bentleri kapsamında, ilgili kişiye aydınlatma yapılması suretiyle işlendiği, söz konusu verilerin ilgili kişinin ilk başvurusu sonucu silindiği, ancak ad-soyad, kimlik bilgileri ve mülakata ilişkin değerlendirme notlarının veri sorumlusu tarafından muhafaza edilmeye devam edildiği, buradaki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvurusu sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, bu verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer aldığı üzere, veri sorumlusunun ‘‘meşru menfaati’’ çerçevesinde depolanmaya devam edileceğinin bildirildiği ancak ilgili kişinin bu durumu kabul etmeyerek tekrar başvuruda bulunduğu ve başvurusunda veri sorumlusu banka ile ilgili herhangi bir kariyer planı ve olası iş başvurusu olmayacağını belirterek bankada muhafaza edilen tüm kişisel verilerinin silinmesini talep ettiği, bu talebe karşılık olarak da veri sorumlusunca yapılan değerlendirmeler sonucu ilgili kişinin kendisine ait kişisel verileri üzerindeki tasarruf yetkisini önceleyerek ilgili kişiye ait tüm kişisel verilerin ilk periyodik imha sürecinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri” başlıklı 11 inci maddesi gereği ilk periyodik imha işleminde silineceği hususunu ilgili kişiye ve Kuruma beyan ettiği,
  • Ancak; ilgili kişinin Kuruma ilettiği şikayet ekinde de yer alan veri sorumlusuna yaptığı ilk müracaata istinaden veri sorumlusu banka tarafından verilen yanıtta yer alan ‘‘ilgili kişinin olası iş başvuruları adına kimlik bilgileri, ad, soyadı bilgilerinin bankanın meşru menfaati çerçevesinde saklanacağı’’ ifadesinde muğlaklık söz konusu olduğu, zira veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamında meşru menfaati çerçevesinde veri işlemesinin, veri sorumlusuna sınırsız bir alan tanımadığı, 
  • Bu çerçevede ilgili kişinin ileride yapacağı olası başvurular adına kişisel verilerinin bu başvurularda kullanılacak ve veri sorumlusuna bildirilecek kişisel verilerin teyit edilmesi amacıyla veri sorumlusu tarafından muhafaza edilmesi hususunda, veri sorumlusunun meşru menfaate dayanarak yaptığı savunmasının değerlendirilmesi gerektiği, 
  • Bu kapsamda, ilgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, ilgili kişinin verilerinin saklanması hususunda veri sorumlusunun meşru menfaatinin açık ve belirli olmadığı, veri sorumlusunun işleme faaliyetinden sağlaması beklenen yararın kişisel veri işlenmeksizin başkaca bir yol ve yöntemle elde edilebileceği ve söz konusu veri işleme faaliyetinin çok sayıda kişiyi etkileyecek şekilde kurumsal bir fayda sağlamadığı değerlendirildiğinden söz konusu kişisel verilerin işlenmesinde veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine baskın gelmediği,
  • İş başvurusunun kabul edilmemesi ile birlikte Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birinin devam etmediği göz önünde bulundurulduğunda her ne kadar veri sorumlusu tarafından Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11 inci maddesi gereği ilk periyodik imha sürecinde imha talebinin yerine getirileceği bilgisi ilgili kişiye verilmiş olsa da verilerin imha talebinin ilgili kişi tarafından Kanunun 7 ve 11 inci maddesi kapsamında veri sorumlusuna yeniden iletildiği, söz konusu imha talebi göz önüne alındığında mezkur Yönetmeliğin 11 inci maddesi kapsamında veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek ‘‘resen’’ imha işleminin söz konusu olamayacağı, aksine aynı Yönetmeliğin 12 inci maddesi kapsamında ilgili kişinin talebi üzerinde imha işleminin gerçekleştirilmesinin gerektiği; bu itibarla da imha işleminin bu madde kapsamında ele alınması gerektiği

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına, 
  • İlgili kişinin kişisel verilerinin imha edilerek ilgili kişiye ve Kurula konu hakkında bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • İş müracaatı olumsuz sonuçlanmış başka kişilerin bulunması durumunda onların da kişisel verilerinin Kanunun 7 nci maddesi hükümleri çerçevesinde imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/859
Konu Özeti : İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, internet hizmeti alımı talebini karşılamak amacıyla evine gelen internet hizmeti sağlayan şirket yetkilileri tarafından kimlik bilgilerinin sözleşme üzerine yazılmasına rağmen ayrıca kimlik fotoğrafının da çekilmesinin istendiği, kendisinin kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istediyse de bunun firma tarafından kabul edilmediğinin ifade edildiği, bunun üzerine hizmet alımını reddetmesi sebebiyle yetkililerin evden ayrıldığı, ardından veri sorumlusundan kimlik bilgilerinin silinmesini talep ettiği, ancak talebinin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı hususları ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında konu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Şirket tarafından abonelere temel ve katma değerli elektronik haberleşme hizmetlerinin sunumu, faturalama, müşteri hizmetleri, şikayetlerin yanıtlanması gibi amaçlar için gerekli olan hallerde her bir kategori bazında kişisel verilerin işlenebildiği,
  • Kimlik bilgilerinin T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, medeni durum, cinsiyet, kimlik belgesi örneği, fotoğraf gibi kişisel verileri, iletişim bilgilerinin ise adres, telefon/faks numarası, e-posta adresi gibi kişisel verileri ifade ettiği,
  • Yukarıda sıralanan kişisel veri tiplerinin işlenme gerekçesinin temel olarak abonelerin şirketle yaptığı abonelik sözleşmesi kapsamında,  Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde ifade edilmiş olan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca olduğu,
  • Şirketin Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş ve temel iştigal alanının 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuat çerçevesinde elektronik haberleşme hizmetlerinin sunulması olduğu, bu kapsamda Şirketin tüm ürün ve hizmet süreçleriyle ilgili BTK düzenlemelerine uymakla yükümlü olduğu, 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bilgi Teknolojileri ve İletişim Kurumu, Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasının 

“...
(6) Abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmeci abonelik sözleşmesinin yanında;
a)    Bireysel aboneliklerde T.C. Kimlik Numarası ile kimlik belgesinin,
b)    Kurumsal aboneliklerde yetkili kişinin T.C. Kimlik Numarası ve kimlik belgesi ile temsile yetkili olduğuna dair belge ile imza sirkülerinin,
c)    Yabancı uyrukluların aboneliklerinde geçerlilik tarihi uygun pasaport, uluslararası geçerliliği olan muadili belge veya ulusal geçerliliği olan kimlik muadili belgenin, birer örneğini almakla yükümlüdür. Abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenir. İşletmeci tarafından bu belgelerin örneği asılları üzerinden ve yalnızca uygun elektronik ortama aktarılarak alınır.
(7) İşletmeciler, abonelik sözleşmelerini ve sözleşmenin tesisi için gerekli bilgi ve belgeleri kuruluş şekline uygun olarak muhafaza etmekle yükümlüdür.” 
hükümlerini içerdiği,

  • Bu kapsamda, abonelik sözleşmesi yapılması için kimlik fotoğrafının çekilmesi uygulamasının Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrası gereğince yükümlülük olduğu, 
  • Bu yükümlülüğün yerine getirilebilmesi için şirket tarafından özel bir uygulama geliştirilmiş olduğu ve kimlik belgesinin fotoğrafının ilgili çalışan tarafından şirketin bu özel uygulaması ile çekildiği, bu uygulama ile çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, herhangi bir cihaz içerisinde veya bayi sisteminde saklanmadığı, mevzuatın izin verdiği yahut yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı,
  • Uygulama üzerinden çekilen ve gönderilen fotoğrafın çalışanın cihazında muhafaza edilmesinin mümkün olmayıp, belge fotoğraflarının uygulama üzerinden ve usulüne uygun olarak gönderilip gönderilmediğinin evrak arşiv sistemlerinde düzenli olarak kontrol edildiği ve denetlendiği,
  • Bu kapsamda kimlik belgesinin fotoğrafının çekilmesine ilişkin hukuki gerekçenin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde ifade edilmiş olan “Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması.” hükmü olduğu, 
  • Öte yandan, kişisel verilerin, Kanun ve yukarıda sayılan mevzuat başta olmak üzere ve bunlarla sınırlı olmaksızın ilgili tüm mevzuata uygun olarak, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, taraflarınca re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği,
  • İlgili kişinin şikayetine ilişkin taraflarınca yapılan incelemelerde, ilgili kişinin talebi ile abonelik sözleşmesi yapılması için şirket yetkililerince evine gidildiği, ancak kimlik fotoğrafının çekilmesinin istememesi sebebiyle sözleşme kurulmadığı ve kimlik fotoğrafının çekilmediğinin anlaşıldığı,
  • Bununla birlikte ilgili kişinin kendisinin veya diğer resmi kurum/adli mercilerin şirketten bu kişiyle ilgili bilgi talep etmesi durumunda, ilgili kişinin şirkete başvurusunun incelenip ilgili bilgilere ulaşılabilmesi, başvuru sahibinin kimliğinin teyit edilmesi ve şikayet konusuyla eşleştirilmesi, bir başka deyişle ilgili kişinin “tanınabilmesi” için gerekli kişisel verilerinin saklanması gerektiği,
  • Şirketçe ilgili mercie şikayetçi bazında yanıt verilebilmesi ve bilgi/belge sunulabilmesi için ilgili kişilerin asgari olarak kimlik bilgilerinin tutulması gerektiği, Kurumun bilgi talepli yazısının cevaplanması için gerekli verilere ulaşılmasının dahi ilgili kişinin bu işlem için ihtiyaç olan kişisel verilerinin saklanması neticesinde mümkün olduğu, bu nedenlerle ilgili kişinin kişisel verilerinin silinmesine dair başvurusunun reddedildiği, ancak söz konusu verilerin bu işleme amaçları dışında işlenmesinin söz konusu olmayacağı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarih ve 2021/859 sayılı Kararı ile;

  • Kanunun Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,  “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasında yer alan hüküm uyarınca veri sorumlusu tarafından abonelik sözleşmesinin tesisi için gerekli kimlik belgelerinin asılları üzerinden elektronik ortama aktarılmasının zorunlu olduğunun anlaşıldığı, dolayısıyla ilgili kişilerin kimlik belgesinin fotoğrafının çekilmesi yönündeki kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü temelinde gerçekleştirildiği, bu anlamda söz konusu kişisel veri işleme faaliyetinde Kanuna aykırılık unsuru bulunmadığı, 
  • Somut olayda ise, veri sorumlusundan alınan cevap yazısında ilgili kişinin kimlik fotoğrafının çekilmediği ve yalnızca kimlik bilgilerinin ilgili kişi ile abonelik sözleşmesi yapılması için o aşamada işlendiğinin belirtildiği göz önünde bulundurulduğunda söz konusu kimlik bilgilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiğinin anlaşıldığı, 
  • Bununla birlikte ilgili kişinin sonraki aşamada sözleşme yapmaktan vazgeçmesi üzerine bilgilerinin silinmesini talep ettiği, veri sorumlusu tarafından ise ilgili kişinin tüketici sıfatını kazanması nedeniyle veri sorumlusu bünyesinde kişinin kimlik teyidinin yapılması adına asgari düzeyde kimlik bilgilerinin işlenmesinin söz konusu şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği,
  • Her ne kadar sözleşme taraflar arasında kurulmamış olsa dahi kişinin tüketici sıfatını kazanması nedeniyle şirket hakkında çeşitli mecralarda ileri sürebileceği şikayetlerin söz konusu olabileceği, bu anlamda veri sorumlusunun kendini savunma hakkının gündeme geldiği, Anayasanın 36 ncı maddesinde adil yargılanma hakkının; herkesin, meşru vasıta ve yollardan faydalanmak suretiyle yargı mercileri önünde davacı veya davalı olarak iddia ve savunma ile adil yargılanma hakkına sahip olması şeklinde düzenlendiği, savunma hakkının, suç islediği iddia edilen kişinin, devlet ya da bireyler tarafından kendi varlığına yöneltilen eylem ve işlemlere karşı kendisini korumak için yasal yollara başvurması veya yasal imkanlardan faydalanması olarak tanımlandığı,
  • Bu kapsamda, ilgili kişinin talebi üzerine, veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartının ortadan kalktığı,  bunun yanı sıra şikayet süreçlerinin sağlıklı yürütülmesi adına kimlik bilgilerinin işlendiği ve ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında savunma hakkının gereği gibi sağlanabilmesini teminen asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığı, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği

değerlendirmelerinden hareketle,

  • İlgili kişinin talebi üzerine veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
26.08.2021: “Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/850
Konu Özeti : Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi

 

Kuruma intikal eden ihbarda özetle, şikayetçinin ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğradığı, ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığı, çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediklerini ifade ettikleri, bu uygulamanın şahsî telefonlar üzerinden kullanılmasının, daha sonra işten ayrılan bir şahsın elinde birçok bilginin olmasına sebep olabileceği ve kötü niyetli işlemler yapılabilme riski taşıdığı, telekomünikasyon alanında faaliyet gösteren bir diğer firmanın, benzer bir uygulamayı kurumsal olarak tanımlanmış, IP adresi belirlenmiş, güvenli ve takip edilebilir bir cihazla yaptığı, şikayetçinin bu hususta Bilgi Teknolojileri ve İletişim Kurumuna (BTK) başvurduğu ve şikayete konu şirketin verdiği yanıtta “…..2018 tarihi itibariyle Kimliklerin Dijital Ortama Aktarılması projesini devreye aldığı, bu proje ile kimliklerin dijital ortama aktarılması işleminin gerçekleştirildiği, bu uygulamanın yalnızca mobil cihazlarda çalıştığı, her personelin kendi telefonu üzerinden kendi kullanıcı kodu ve şifresi ile bu sisteme girerek kimliği tarama işlemini gerçekleştirdiği, ancak kimliklerin telefonda saklanması, depolanması ve üçüncü kişilerle paylaşılması durumunun söz konusu olmadığı” ifadelerine yer verildiği, fakat ihbar sahibinin bu durumda dahi müşterilerin kimlik bilgilerinin, veri kurtarma bilişimi sebebiyle tehdit altında bulunduğunu düşündüğü ifade edilerek, konu hakkında gerekli incelemenin yürütülmesi talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun telekomünikasyon sektöründe faaliyet göstermekte olduğundan, BTK mevzuatı kapsamında faaliyetlerini sürdürdüğü ve Numara Taşınabilirliği (hat taşıma) işleminin de ayrıntılı olarak 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuatlar kapsamında düzenlendiği, 
  • Yine BTK tarafından yayımlanan “Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esaslar”da numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntısı ile hüküm altına alındığı,
  • Numara taşıma taleplerinde, Numara Taşıma Yönetmeliğinin 7 nci maddesi ve Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esasların 5 inci maddesinin (2) numaralı fıkrasının a/2 bendi kapsamında; abone tarafından taşınacak olan numaranın, kimlik bilgilerinin, verici işletmeci bilgisinin, irtibat bilgilerinin ve tercih ettiği taşıma zamanının, doldurulan matbu bir form alıcı işletmeye bildirilmesi gerektiği, alıcı işletmecinin söz konusu talep formunu, kimlik bilgileri ve diğer ilgili bilgileri alarak verici işletmeye göndermek üzere söz konusu belgeleri numara taşınabilirliği sistemine yüklemekle yükümlü olduğu, bu kapsamda söz konusu bilgilerin yanı sıra dijital sisteme aktarılmak üzere abone kimliği ve söz konusu işletmeci ile taşıma işleminin gerçekleşmesinden itibaren geçerli olacak şekilde abonelik sözleşmesinin alındığı,
  • Bu kapsamda Şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı,
  • Diğer taraftan BTK’nin 28.10.2017 tarih ve 30224 sayılı Resmî Gazetede yayımlanan “Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği”nin “Abonelik sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 nci maddesinin (6) ve (7) numaralı fıkralarının ilgili bentlerinde; abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmecinin, abonelik sözleşmesinin yanında, bireysel aboneliklerde T.C. kimlik numarası ile kimlik belgesinin birer örneğini almakla yükümlü olduğu ve abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazını isteyeceği, işletmecinin bu belgelerin örneğini, asılları üzerinden ve yalnızca uygun elektronik ortama aktararak alacağı hükümlerinin yer aldığı,
  • Dolayısıyla veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak söz konusu kişisel verileri işlediği,
  • Veri sorumlusunun, bilgi güvenliği politikaları ve BTK düzenlemeleri kapsamında her türlü teknik ve idarî tedbiri aldığı ve bunların, ilgili kişinin başvurusunda belirttiği tedbirlerden daha ileri tedbirler olduğu,
  • Abonelik veya numara taşımaya ilişkin bir başvuru esnasında müşteriden alınacak olan kimlik belgesi örneğinin, uygulama üzerinden elektronik ortamda alınarak veri sorumlusunun merkezî sunucularına aktarıldığı ve ilgili düzenleme gereği muhafaza edilecek şekilde aboneyle ilişkilendirildiği, 
  • Söz konusu uygulamanın yalnızca mobil telefonlarda çalışıyor olduğu ve anılan uygulamada gerekli güvenlik önlemlerinin alındığı, (Alınan güvenlik önlemlerinin ise detaylı şekilde açıklandığı ve tevsik edici belgelerin yazıları ekinde Kuruma sunulduğu görülmüştür)

ifade edilmiştir.

Veri sorumlusundan ilgili cevabın alınmasını müteakip 19.01.2021 tarih ve 2021/55 sayılı Kurul Kararı ile; “... konunun detaylarının ortaya koyulabilmesi adına üç operatör şirketini temsil eden Mobil Telekomünikasyon Operatörleri Derneği’nden (m-TOD) bilgi temin edilmek suretiyle incelemenin devamına...” karar verilmiş ve bahse konu Kurul Kararı uyarınca m-TOD’a başvuru konusu ile ilgili bilgilendirmeler yapılarak;

  • İhbar sahibi tarafından Kuruma intikal ettirilen hususların veri güvenliği ihlali riski oluşturup oluşturamayacağı,
  • Bayi personelinin şahsî cep telefonlarına müşterilerin kimlik fotokopilerini kaydetmesini önlemek maksadıyla, bu işlemin her bayide yalnızca bu işe özgülenen, kurumsal olarak takip edilebilen ve yetkisiz erişimi mümkün olmayan tablet veya cep telefonu gibi bir mobil cihaz vasıtasıyla ya da ilgili kişinin kendisi tarafından gerçekleştirilmesinin operatör şirketleri açısından mümkün olup olmadığı

hususlarında bilgi talep edilmiştir.

m-TOD’un konuya ilişkin cevabî yazısında ise özetle;

  • Derneğin tüm üyelerinin; ürün ve hizmet süreçleriyle ilgili olarak BTK düzenlemelerine uymakla yükümlü olduğu, BTK tarafından konuya ilişkin yönetmeliklerin dijitalleşme trendi göz önüne alınarak güncellendiği ve bu sebeple mobil operatörlerin, abonelik tesis ederken T.C. kimlik numarası ile kimlik belgesini asıllarına uygun olarak elektronik ortama aktararak almak zorunluluğunun bulunduğu,
  • Cep telefonlarının yalnızca mobil operatörlerinin bayi ağında değil, birçok firmanın personeli tarafından iş amaçlı olarak yaygın bir şekilde kullanıldığı, alınan tüm idarî ve teknik tedbirlere rağmen insan faktörü sebebiyle her iş sektörü için riskler doğabildiği, mobil telekomünikasyon sektöründe karşılaşılacak risklerin, diğer sektörlerdeki herhangi bir güvenlik riskinden daha farklı olmayacağı, öte yandan kimlik fotokopisinin alındığı geçmişteki uygulamalara nazaran şimdiki metodun en güvenli metot olduğu,
  • Bayi kanalıyla yapılan abonelik süreçlerinde müşterilerin kimlik fotokopilerinin alınması sürecinin, işletme tarafından özel olarak tahsis edilmiş cihazlar ya da işletmecinin uygulamasının kurulumunun yapıldığı şahsi cihazlar üzerinden yürütülmekte olduğu, bu iki yöntemin de güvenli olduğu, bununla birlikte işletmeci tarafından özel olarak tahsis edilmiş cihazların bayilerde gerçekleştirilen abonelik süreçlerinde kullanımının yaygınlığının artırılması yönündeki çalışmaların sürdürüldüğü,
  • Abonelik ilişkisinin tesisi sırasında kurumsal cihazlar veya personele ait fakat içerisinde güvenlik tedbiri alınmış kurumsal yazılım bulunan şahsî cihazlar vasıtasıyla işlem yapılabildiği ve bu iki usulün de güvenli olduğu ancak ilgili kişinin kendisi tarafından bu işlemlerin gerçekleştirilmesinin mümkün ve güvenli olmayacağı, zira bu suretle uygulamanın yetkisiz erişime açılmış olacağı ve kötü niyetli kullanım olasılığının artacağı, uygulamanın uç tarafında ise işletme servisleriyle entegrasyon bulunduğu ve ilgili kişilerin bu sisteme erişmesinin yüksek dereceli güvenlik riski doğurabileceği, ayrıca herkesin bu uygulamaları kullanmaya yetkin telefonunun olmaması nedeniyle sistemde yeknesaklık sağlanamayacağı

belirtilmiştir.

Söz konusu resen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Kararı ile; 

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağladığı, anılan maddenin (3) numaralı fıkrasında veri sorumlusunun, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlü kılındığı,
  • İhbar sahibinin veri sorumlusu bünyesinde çalışan personellerin abonelik veya numara taşıma işlemleri sırasında müşterinin kimlik belgesinin fotoğrafını kendi şahsî cep telefonlarıyla çektiklerini ifade ederek, bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ettiği, veri sorumlusunun da bu metodu kullandığını doğruladığı fakat veri sorumlusunun; söz konusu kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığını, bu aktarım işlemini gerçekleştiren uygulamayla ilgili her türlü teknik ve idarî tedbirin alındığını, müşteri kimlik bilgilerinin asla şahsî telefonlarda depolanmadığı ve uygulamadaki tedbirler sayesinde veri sorumlusunun çalışanlarının çekilen kimlik fotoğraflarına tekrar erişemediği hususlarını ifade ederek, bu verileri işlemenin yasal ve güvenli olduğunu savunduğu,
  • Veri sorumlusunun, ilgili verileri, Kanunun “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu,
  • Öte yandan veri sorumlusunun, müşterilere ait kimlik belgelerinin üzerinden temin edildiği uygulamanın çalışmasına dair makul teknik tedbirleri aldığı ve bunun yanı sıra bahse konu uygulamayı kullanan personele yönelik de gizlilik taahhütnameleri imzalatmak, eğitim vermek, farkındalık duyuruları yayınlamak gibi idarî tedbirlere de başvurduğu, bu kapsamda veri sorumlusunun, Kanunun 12 nci maddesinde belirtilen yükümlülüklerini yerine getirdiği,

değerlendirmelerden hareketle,
 

  • Numara taşıma işlemi sırasında ilgili kişilerin kimlik fotokopilerinin alınmasının mevzuatta öngörülmüş olması sebebiyle bahse konu durumun Kanuna ve ilgili mevzuata aykırılık teşkil etmediğine,
  • Veri sorumlusu tarafından uygulamanın çalışmasına ilişkin alınmış olan teknik ve idarî tedbirlerin makul olduğu değerlendirildiğinden somut hadisede Kanunun 12 nci maddesinde belirtilen yükümlülüklere aykırı bir husus bulunamadığına, 
  • Bununla birlikte, Kanunun 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanması noktasında veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına,
  • Öte yandan Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

06.07.2021: “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/666
Konu Özeti : Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi

 

Kuruma intikal eden şikâyette özetle; şikâyetçinin veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından hastaneden temin edildiği ve Aile Mahkemesinde tarafına açılan yargılamanın iadesi davasına ilişkin dosyada, içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel veriler içeren bilgisayar ekran görüntüsünün delil olarak kullanıldığı, konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna, hastane tarafından herhangi bir cevap verilmediği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şikayetçi ile hastane arasında şikâyet öncesinde ve sonrasında devam eden bir dava süreci bulunmadığı,
  • Hastane bünyesinde sağlık ve destek ekipleri dahil olmak üzere toplam 653 personelin çalıştığı, bu nedenle kuruma çeşitli kanallardan gelen ve kurum tarafından gönderilen evrak ve taleplere ilişkin yoğun bir trafiğin mevcut olduğu, bu nedenle gün içerisinde kuruma gelen ve gönderilen evrak ve talep sayılarının değişkenlik göstermekle birlikte gün içerisinde yaklaşık olarak bu sayının yetmişi bulduğu, evrak trafiğinin yoğunluğu nedeniyle bir hata yaşandığı ve başvurunun ilgili birimlere iletilmesindeki aksaklık nedeniyle başvuru sahibi kişiye dönüş yapılamadığı,
  • Cumhuriyet Başsavcılığınca hazırlanan iddianame ve ekinde yer alan görüntünün doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğunun tespit edildiği,
  • Bu ekrana ilgili birimde çalışan yatan hasta misafir hizmetleri çalışanları ve hemşirelerin erişim yetkisinin bulunduğu, 
  • Mevcut bölümde hizmet veren kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, 
  • Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki kişiden alınan ifadelerden de anlaşılacağı üzere her iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı,
  • Hastane olarak hasta bilgi gizliliği, hasta mahremiyeti konularındaki prensipleri gereği hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda oldukça detaylı idari ve teknik tedbirler alındığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Kararı ile;

  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ise  “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14 üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.” hükmünü haiz olduğu, 
  • Somut olayda, ilgili kişinin Kanunun 13 üncü maddesi çerçevesinde yazılı olarak veri sorumlusu hastaneye yaptığı başvurunun PTT gönderi belgesi sorgulamasında veri sorumlusunun söz konusu başvuruyu teslim aldığının görüldüğü, ancak yasal süresi içinde başvuruya cevap verilmemesi üzerine şikâyetçi tarafından Kanunun 14 üncü maddesi uyarınca Kuruma şikâyette bulunulduğunun anlaşıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceğinin, Tebliğin 6 ncı maddesinde ise veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Veri sorumlusundan alınan cevap yazısında; hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğunun görüldüğü, bu kapsamda veri sorumlusunun Kanun kapsamında kendisine yapılan başvurular ile ilgili olarak Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmediği kanaatine varıldığı, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı, 
  • Somut olayda, veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği, 
  • Her ne kadar veri sorumlusu tarafından hasta bilgi gizliliği, hasta mahremiyeti, hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda çalışanlara sürekli eğitimler verildiği ve sürece ilişkin yazılı kurumsal dokümanlar oluşturulduğu ifade edilse de söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olunduğu,
  • Veri sorumlusu hastane tarafından kişisel verilere hukuka aykırı erişimi önlemek adına alınan idari ve teknik tedbirlerin yetersiz kaldığı ve sonuç olarak şikâyetçinin velisi bulunduğu ilgili kişiye ait kişisel verilerin üçüncü kişilerce erişimine neden olunduğu

değerlendirmelerinden hareketle;

  • Şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği dikkate alındığında, bu konuda veri sorumlusu Hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusu hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğu görüldüğünden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

06.07.2021: “İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/664
Konu Özeti : İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; kendisinin de abonesi olduğu doğal gaz dağıtım hizmeti veren şirketin (veri sorumlusu) düzenlediği faturalarda “Otomatik Ödeme Talimatı” bölümünde kişilerin ödeme yaptığı banka adı bilgisine yer verildiği, faturada bu bilgiye yer verilmesi sebebiyle ilgili kişinin hangi bankada hesabının bulunduğunun açıkça anlaşıldığı, söz konusu bilginin kişisel veri niteliğini haiz olduğu, faturada bu bilgiye yer verilmesinin ilgili kişinin kişisel verisinin üçüncü kişilerle paylaşılması anlamına geldiği, bahsi geçen bilginin kötü niyetli kişilerin eline geçmesi halinde dolandırıcılığa yol açabileceği,  bu çerçevede düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik olarak veri sorumlusuna başvuruda bulunmuş olmasına rağmen veri sorumlusu tarafından olumsuz yanıt verildiği ifade edilerek 6698 sayılı Kişisel Verileri Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • EPDK’nın Doğal Gaz Piyasası Dağıtım ve Müşteri Hizmetleri Yönetmeliğinin ilgili hükümlerine göre hizmet sunulan müşteriler ile “müşteri sözleşmesi” imzalandığı, müşterilerce gerçekleştirilen tüketimlerin taraflarınca faturalandırıldığı, müşterilerin ise ödemelerini veri sorumlusunun vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdikleri, müşterilerce banka kanalıyla gerçekleştirilen ödeme işlemlerinin de ilgili bankalara ait ATM, vezne ya da otomatik ödeme yöntemlerinden herhangi biri ile gerçekleştirildiği, 
  • Abonelerden, sözleşme tanzim edilmesi işlemleri esnasında “Otomatik Ödeme” ya da banka bilgisi talep edilmediği, talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, banka ile veri sorumlusu arasındaki sistem entegrasyonu kapsamında veri sorumlusuna aktarıldığı ve aktarılan bu bilgilerin Kanunun 4 üncü maddesi ile 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında veri sorumlusunun sistemlerinde yer aldığı, söz konusu verilerin sistemlerinde yer almasının, sözleşme kapsamındaki işlerinin ifası için zorunlu olduğu, aksi durumda bazı sorunların oluşacağı,
  • Bankaya verilen otomatik ödeme talimatı sonrasında ilgili bankanın veri sorumlusunun sisteminden talimat sahibi abonenin borç bilgisini anlık olarak çektiği ve faturanın son ödeme tarihinde abonenin hesabından tahsilatı yaparak, tahsilat bilgisini veri sorumlusunun sistemine aktardığı, bu işlemlerin yapılması için ilgili bankaların, veri sorumlusu şirketin veri tabanında kendi bankalarına ait koda ve veriye teknik olarak gereksinim duyduğu, dolayısıyla söz konusu verinin veri sorumlusunun sistemlerinde yer almaması halinde, ilgili bankaların sistemsel sıkıntılar yaşayacağı ve ödenemeyen borçlar sebebiyle müşterilerin gaz arzının durdurulması sonucunun doğacağı, bu durumun bir yandan abonelerin mağduriyet yaşamasına yol açacağı, diğer yandan da veri sorumlusu şirketin işinin ifasında sıkıntı oluşturarak meşru menfaatlerine zarar vereceği, 
  • Diğer taraftan, ilgili kişinin faturada “Otomatik Ödeme Talimatı” başlığı karşısında yer alan banka bilgisinin kaldırılması talebinin veri sorumlusu tarafından tüm müşterileri kapsayacak şekilde yerine getirildiği, faturalarını otomatik ödeme talimatı vermek suretiyle ödeyen tüm abonelerin faturalarında banka talimatı bölümünde banka adı yazma uygulamasının kaldırıldığı ve talimat varsa sadece “VAR” ifadesi yazılacak şekilde gerekli düzeltmelerin yapıldığı 

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/664 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işleneceği, amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işleneceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesine imkan tanındığı, buna göre; 
    a) Kanunlarda açıkça öngörülmesi,
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 
    hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
  • İlgili kişinin şikâyetine konu olan veri sorumlusu tarafından adına düzenlenen faturada yer verilen kişisel veri niteliğindeki banka adı bilgisinin, doğrudan ilgili kişiden elde edilmediği, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla banka tarafından veri sorumlusu şirkete aktarıldığı görüldüğünden; bu kapsamda söz konusu banka adı bilgisinin veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” şartı uyarınca veri sorumlusu tarafından işlenmesinin Kanuna uygun olduğu,
  • Öte yandan, ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle hâlihazırda herhangi bir hak ihlali yaşamadığı,
  • İlgili kişinin düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik veri sorumlusuna yaptığı başvuruya veri sorumlusu tarafından olumsuz yanıt verildiği iddiasına ilişkin olarak, Kuruma iletilen fatura örnekleri incelendiğinde veri sorumlusunca talep sonrası düzenlenen hiçbir faturada banka adı bilgisine yer verilmediği, banka talimatı bölümünde banka bilgisine yer verilmeyip sadece “VAR” ifadesinin kullanıldığının görüldüğü bu kapsamda ilgili kişinin talebinin yerine getirildiği kanaatine varıldığı 

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğinde olan banka adı bilgisinin, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” işleme şartına dayanılarak işlendiği; öte yandan ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle herhangi bir hak ihlali yaşadığının tespit edilemediği ve veri sorumlusunun ilgili kişinin talebini yerine getirdiği hususları dikkate alındığında bu aşamada şikayete konu iddialar ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

22.06.2021: “ilgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi”
Karar Tarihi : 22/06/2021
Karar No : 2021/603
Konu Özeti : İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin, veri sorumlusu tarafından hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikayet dilekçesinde özetle: internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak sipariş verdiği, vermiş olduğu siparişlerinin kendisine gönderiminin hangi kargo firması ile gerçekleşeceğinin sipariş formunda yer aldığı, bununla birlikte söz konusu siparişlerin gerek teslimat gerek fatura adresi olsun hiçbir suretle belirtmediği halde işyeri adresine gönderiminin yapıldığını tespit ettiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi hükmü kapsamındaki hakları ve 13 üncü maddesi uyarınca taşımacılık sektöründe faaliyet gösteren veri sorumlusuna dilekçe ile iadeli taahhütlü olarak başvuru yaptığı, söz konusu başvurusunda hukuka aykırı olarak elde edilmiş kişisel verilerinin yok edilmesi, kişisel verilerinin kullanım amacına uygun olarak kullanılması, üçüncü kişilere aktarılmış olan kişisel verilerine dair yapılan işlemlere ilişkin ilgili üçüncü kişilere bilgi verilmesi ve kişisel verisi olan iş yeri adresinin yasal mevzuata ve hukuka uygun olarak işlenmişse dahi işlenmesini gerektirir sebebin ortadan kalkmış olduğunu düşündüğünden söz konusu kişisel verilerinin yok edilmesi talebinde bulunduğu; fakat veri sorumlusu tarafından bu başvurusuna 30 günlük süre içinde cevap verilmediği belirtilerek, konunun incelenmesi, kişisel verilerinin halen silinmemiş olması nedeniyle veri sorumlusuna talimat verilmesi ve hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu kargo şirketinden savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • Taraflarının, ilgili kişi başvurularını Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygunluk konusunda ön değerlendirmeye tabi tuttuğu, ancak söz konusu olayda ilgili kişinin başvuruyu posta yoluyla gerçekleştirmiş olduğu ve başvuru evrakında T.C. kimlik numarasının yer almadığı, ilgili kişinin kimliğinin doğruluğunu teyit etmeden yapılan her türlü bilgi paylaşımının kişisel veri güvenliği açısından riskli olacağı, bu nedenle ilgili kişi tarafından gönderilen yazının hukuki olarak veri sorumlusuna başvuruda bulunması gereken hukuki nitelikleri taşımadığı, 
  • Şikayete konu kargo gönderimi esnasında birbirine rakip internet satış şirketlerinin indirim yapması sonrası oluşan kargo yoğunluğu sebebiyle, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirilmiş olduğunun görüldüğü; ancak ilgili kişinin teslimat sırasında bu adreste bulunmaması nedeniyle bu adreste herhangi bir teslimatın gerçekleştirilmediği,
  • Yazı ekinde yer alan sistem çıktılarında görüldüğü üzere ilgili kişinin iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslimi amacıyla (bir sözleşmenin ifası kapsamında veri işleme şartına dayalı olarak) taraflarına iletilen bilgiler neticesinde elde edildiği,
  • 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun “Muhafaza ve ibraz” başlıklı, 8 inci maddesinin “(1) Yükümlüler, bu Kanunla getirilen yükümlülüklere ve işlemlerine ilişkin her türlü ortamdaki: belgeleri düzenleme tarihinden, defter ve kayıtları son kayıt tarihinden, kimlik tespitine ilişkin belgeleri ise son işlem tarihinden itibaren sekiz yıl süreyle muhafaza ve istenmesi halinde yetkililere ibraz etmekle yükümlüdür.” şeklinde düzenlendiği, ayrıca Bilgi Teknolojileri ve İletişim Kurulunun 27/12/2016 tarih ve 2016/DK-YED/517 sayılı kararı ile düzenlenen Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinin “Hizmet sağlayıcılar tarafından, haberleşme gönderileri hariç, posta gönderilerinin kabulü aşamasında: asgari olarak;(…) alıcının adı-soyadı ve açık adres bilgisi (…) kayıt altına alınır, gerektiğinde ilgili mercilere sunulmak üzere gizliliği sağlanarak en az iki yıl süreyle saklanır.” şeklinde olduğu ve bu nedenle gönderim esnasında taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlarından yasal zorunluluk gereği silinemediği,
  • İlgili kişiye ait kişisel verilerinin bulunduğu veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün yazı ekinde sunulduğu, bu bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, pasif durumda olan cari bilgilerin yalnızca merkez birimi tarafından değiştirilebildiği, bu hususun tekrar yaşanmaması adına sistemlerinde mevcut cari kayıtlar güncellenerek ilgili kişinin yeni siparişlerinde vermiş olduğu güncel bilgiler doğrultusunda yeniden cari açılımı yapılarak kargo gönderimi gerçekleştirileceği

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;  “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kişisel verilerin işlenme şartlarının ise Kanunun 5 inci maddesinde “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 
    (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
    a) Kanunlarda açıkça öngörülmesi. 
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” şeklinde hüküm altına alındığı,
  • Bu çerçevede, ilgili kişinin kişisel verilerinin hukuka aykırı işlendiğine ilişkin iddiaları ile ilgili olarak somut olayda veri sorumlusu tarafından gönderinin kabulü aşamasında ilgili kişinin adresinin kaydedilmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanılarak yapıldığının açık olduğu, buna karşın veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği dolayısıyla veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğüne aykırı hareket ettiği, 
  • İlgili kişinin verilerinin silinmesine yönelik talebi ile ilgili olarak, veri sorumlusu tarafından, gönderim esnasında taşıma işini gerçekleştirmek üzere beyan edilmiş olan adresi, adı, soyadı ve irtibat telefon numarasının mevcut kayıtlarından yasal zorunluluk gereği silinemediği, kişisel verilerin korunması ve güvenliğinin azami ölçüde sağlandığı ve işlenen kişisel verilerin taraflar arası hukuki ilişkinin niteliği gözetilerek ve ilgili kanunlarda öngörülen yasal zorunluluk ve zaman aşımı süreleri ve diğer hukuki yükümlülükler dikkate alınarak gereken süre boyunca saklandığı ve akabinde silme, yok etme veya anonim hale getirme yöntemleri gözetilerek imha edildiği, bu çerçevede ilgili kişinin kişisel verilerinin bulunduğu (isim soy isim, adres, iletişim no vb.) veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün savunma yazısı ekinde gönderildiği ve pasif hale getirilen cari bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, 
  • Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinde gönderinin kabulü ve teslimi aşamasında en az 2 yıl süreyle saklanacak verilerin açıkça düzenlendiği, ilgili kişinin iş yeri adresine uygun olan son kargo hareketinin 26.02.2019 tarihli olduğu ve sehven yanlış adrese yapılan gönderimin ise 02.11.2019 tarihli olduğunun belirtildiği, bu çerçevede, Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin silinmesini gerektiren sebebin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği,
  • İlgili kişinin veri sorumlusuna yapmış olduğu başvurusuna veri sorumlusu tarafından 30 günlük süre içinde cevap ve bilgi verilmemesi iddiasına ilişkin olarak, her ne kadar Tebliğin 5 inci maddesinin (2) numaralı fıkrasında T.C. kimlik numarasının bulunmasının zorunlu olduğu düzenlenmiş olsa da veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik ilgili kişiyi yönlendirici gerekli aksiyonun veri sorumlusu tarafından alınmadığı, bu kapsamda başvurusunun bu şekilde cevapsız bırakılmasının Tebliğin 6 ncı maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı (b) bendi hükmü uyarınca idari para cezası uygulanmasına,
  • İlgili kişinin kişisel verisi olan iş yeri adresinin silinmesi/yok edilmesi talebine ilişkin olarak veri sorumlusu bünyesinde Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği dikkate alındığında Kanun kapsamında bu çerçevede yapılacak bir işlem olmadığına,
  • Veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik gerekli aksiyonun veri sorumlusu tarafından alınmadığı ve başvurusunun cevapsız bırakıldığı, dolayısıyla Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında belirtildiği üzere, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı değerlendirildiğinden veri sorumlusunun ilgili kişinin başvurusundaki eksik hususların tamamlanmasına yönelik gerekli aksiyonları alması ve Tebliğ hükümlerine azami özeni göstermesi hususunda talimatlandırılmasına

karar verilmiştir.

04.06.2021: “İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması”
Karar Tarihi : 04/06/2021
Karar No : 2021/548
Konu Özeti : Bir dijital platform bayisi tarafından kişisel verilerin hukuka aykırı olarak işlenmesi

 

İlgili kişiden alınan şikâyet dilekçesinde özetle;

  • Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
  • Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
  • Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı 

hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme neticesinde, reklamı yapılan dijital platformdan bilgi ve belge talep edilmiş olup Kuruma ulaştırılan cevabî yazıda;

  • İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit edilemediği,
  • Şikâyet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı, yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye tahsis edildiği,
  • İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,
  • Şayet bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dâhilinde yapılmadığı

beyanlarına yer verildiği görülmüştür.

Bunun üzerine bahse konu dijital platformdan, ilgili kişiyi aradığı iddia olunan bayii ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında  ise;

  • Bayilik hizmeti kapsamında “…Expert” olarak görev yürüten bayiye ürün ve hizmetlerin pazarlanması, tanıtılması, satışı, söz konusu ürün ve hizmetlerle ilgili abonelik tesisi, abonelik uzatma, abonelik iptali, üst paketlere geçiş, satış sonrası hizmetler, tahsilat ve gerektiğinde kurulum ve montaj destek hizmetleri verilmesi ile sınırlı olmamak kaydıyla dijital platform tarafından bildirilecek diğer iş ve işlemler konusunda görev ve yetki tevdi edildiği,
  • Bayii ile akdedilen abonelik sözleşmesi ve bu bayiliğin iptaline ilişkin e-posta çıktısının yazılarına eklendiği,
  • Bayii tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek potansiyel müşteri oluşturabildiği,
  • İlgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı

ifade edilmiştir.

Yukarıda yer verilen bilgi ve belgelerin değerlendirmesi neticesinde alınan 04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; ve “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunda veri işleyenin; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının olması; bir başka diğer deyişle, veri sorumlusunun birimleri içerisinde bulunmaması gerekmekle birlikte veri işleyenin, veri sorumlusundan ayrı bir hukuk kişisi olarak veri sorumlusunun talimatı, denetimi ve yetkilendirmesi dâhilinde kişisel veri işleme faaliyeti yürüteceği,
  • Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
  • Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

09.06.2021: “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/06/2021
Karar No : 2021/584
Konu Özeti : Sigortacılık ve Bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi

 

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle,

  • Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,
  • Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren veri sorumlusunun, poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda müşterilerine hizmet verdiği, ilgili kişinin cep telefonuna gönderilen SMS’in de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasında yer alan kişisel verilerin işlenmesine ilişkin ilkeler arasında yer aldığı üzere, şirketlerinin hukuka uygun bir şekilde “belirli, açık ve meşru amaçlar“ çerçevesinde kişisel veri işlediği ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı,
  • Kanunun "Kişisel Verilerin İşlenme Şartları" başlıklı 5 inci maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği (2) numaralı fıkrasının (d) bendinde ise "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şeklinde kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin düzenleme bulunduğu,
  • Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendine ilişkin TBMM Kanun gerekçesinde "fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir." ifadelerinin yer aldığı, TBMM gerekçesinde söz konusu fıkra amacından bahsedilirken, temel ölçüt olarak sayısı belirsiz kişi tarafından görülebilecek durumda olma unsurunun kabul edildiği ve "herhangi bir şekilde" ibaresi kullanılarak alenileşmenin meydana gelmesi için başka bir şart aranmadığının ifade edildiği, ayrıca gerekçede alenileştirilen verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, zira artık ilgili kişinin kendisinin dahi verinin korunması için bir çaba sarf etmediği,
  • Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
  • Öte yandan, Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği, veri sorumlusunun sigortacılık ve bireysel emeklilik alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında veri sorumlusunun var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de veri sorumlusu için meşru bir menfaat olduğu, dolayısıyla şirketlerinin var olması için poliçe satışı yapmak zorunda olduğu, poliçe satışı yapmak için de teklif araması yapılması gerektiği ve teklif araması sırasında mesaj gönderilen kişinin ad, soyadı ve telefon numarası bilgilerinin önceden şirket uhdesinde bulunması zorunluluğunun da izahtan vareste olduğu, bu nedenle Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin de bu gibi durumlarda ilgili kişinin açık rızasının aranmasına gerek olmadığını belirttiği ve ticari hayatın olağan akışı içinde seyrine imkan tanıdığı, şirketlerinin meşru menfaatleri ve Kanunun meşru menfaat hükmü birlikte değerlendirildiğinde taraflarınca hukuka aykırı bir işlem yapılmadığı,
  • İlgili kişi tarafından veri sorumlusuna yapılan başvuruya, verilerinin veri sorumlususun faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan "Aranmayacaklar Listesi"ne alındığının, bunun ötesinde verilerinin hiçbir şekilde işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin “İspat yükümlülüğü ve kayıtları saklama süresi” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince; hizmet sağlayıcıların onay kayıtlarının, onay geçerliliğinin sona erdiği tarihten; ticari elektronik iletilere ilişkin diğer kayıtların ise kayıt tarihinden itibaren üç yıl süreyle saklanması gerektiği, ayrıca talep edildiğinde ilgili kayıtların Bakanlığa sunulacağının düzenlendiği, buna ek olarak hizmet sağlayıcılara bildirilen "ret" bildirimlerinin de İleti Yönetim Sistemine 3 iş günü içinde bildirilmesi gerektiği, zira bu hakkın kullanılmasının 6698 sayılı Kanun kapsamında açık rızanın geri alınması ile eşdeğer olduğu, bahsi geçen “Aranmayacaklar Listesi” ile kendisine ticari elektronik ileti gönderimine onay vermeyen kişilerin yer aldığı listenin iç içe bir bütün olduğu ve veri sorumlusu tarafından bu listenin mevzuattan kaynaklanan yükümlülükler çerçevesinde saklandığı, mevzuat uyarınca saklama süreleri bittiğinde bu verilerin de Şirketleri tarafından imha edileceği, ayrıca veri sorumlusu tarafından alınan teknik ve idari tedbirler çerçevesinde ilgili listenin sadece yaptığı iş gereği erişimi zorunlu olan kişilere açılarak yetki verildiği,
  • İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği,
  • Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin ikinci fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan Kanunun ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7 inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı,
  • Ayrıca, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
  • Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu kapsamda ilgili kişinin kişisel verisi niteliğindeki telefon numarasına gönderilen kısa mesajlar incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı, içeriklerin reklam, pazarlama ve bilgilendirme amaçlı olduğu değerlendirilmekte olup bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan "İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
  • Veri sorumlusunun, faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında şirketin var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de şirketleri için meşru bir menfaat olması sebebiyle bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, ilgili kişilerin bu şekilde ilgilendikleri veya ilgilenmedikleri alanlarda reklam ve pazarlama amacıyla aranma ve kısa mesaj almaya maruz bırakılmasının temel hak ve hürriyetlerinin zarar görmesine yol açacağı, sonuç olarak salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, reklam ve pazarlama amacıyla gerçekleştirilen aramalardan kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın/onayın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, kişisel verileri hukuka aykırı olarak elde edilmiş olan ilgili kişilerin kişisel verilerinin burada işlenmeye devam etmesi hususunun Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirilmesinin hukuka aykırılık barındırdığı, bu çerçevede Kanunun 11 inci maddesinin (e) bendi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,
  • İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği, bu doğrultuda ilgili kişiye SMS’lerin iletildiği tarihte ticari elektronik ileti gönderilmesinde onay alınmasına ilişkin mevzuattan kaynaklanan zorunluluk bulunmadığı iddia edilse de ilgili kişilerden onay alınmak suretiyle kişisel verisi niteliğinde olan cep telefonu numarasının işlenmesini mümkün kılan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu, onaya ilişkin hususlarla ilgili olarak herhangi bir ertelemenin söz konusu olmadığı, veri sorumlusu tarafından ilgili kişinin onayına istinaden ticari elektronik ileti gönderiminde bulunulduğu hususunu kanıtlayıcı herhangi bir bilgi ve belgenin mevcut olmadığı,
  • Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya Cevap” başlıklı 6 ncı maddesinin (4) numaralı fıkrasında ise cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu, veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunluluğunun düzenlenmiş olduğu, ilgili kişinin başvurusuna veri sorumlusu tarafından 23.06.2020 tarihinde e-posta adresi aracılığıyla verilen cevapta Tebliğde yer alan T.C. kimlik numarası, adres gibi unsurların yer almadığı görülmekle birlikte veri sorumlusunda bu bilgilerin bulunmadığı dikkate alındığında bu hususta herhangi bir hukuka aykırılık olmadığı, öte yandan Tebliğde yer alan “başvuruya ilişkin açıklamalar” unsurundan ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına

karar verilmiştir.

18.03.2021: “İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması”
Karar Tarihi : 18/03/2021
Karar No : 2021/242
Konu Özeti : İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyetinde özetle; ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Kanunun yürürlüğe girmesinden önce veri sorumlusunun sistemlerinde güvenlik ve önlem amaçlı log kayıtlarının tutulduğu, şirketleri ile rezervasyonun; çağrı merkezi, acente ya da internet sitesi üzerinden yapılabildiği, tüm bu kanallardan yapılan satış ve rezervasyonların tek bir satış altyapısında saklandığı, satış sürecinde oluşan kişi kartının, kişi ile iletişim kurulacak telefon numarası ve e-posta gibi iletişim bilgilerinin her seferinde tekrardan kişiden alındığı, böylelikle kişinin bir önceki seyahatinden farklı iletişim bilgileri ile (cep telefonu, e-posta vs.) yeni seyahatini planlayabildiği,
  • İnternet sitesinden gerçekleştirilen bir seyahat alım sürecinde kredi kartı bilgileri kaydedilmeden banka sistemleri üzerinden işlem yapıldığı ve onay sürecinde bankanın paylaştığı son 4 hane ile ilk 6 haneyi içeren bilgiler ile kişi adı gibi detayların ödeme kısmında saklandığı,
  • Çağrı merkezi ve acente sistemlerinin aynı altyapıda olduğu, çağrı merkezlerinin büyük ve online bir acente gibi işlem yaptığı; çağrı merkezinden yapılan alımlarda kişi kartlarındaki iletişim bilgilerinin Kanuna uygun olarak alınan teknik ve idari tedbirler kapsamında tamamen boş geldiği ve satış personelinin/müşteri temsilcisinin gereken bilgileri seyahat özelinde misafirden talep ederek ve talebe uygun olarak doldurduğu,
  • Bu suretle, her bir rezervasyonda rezervasyon bilgilerinin iletileceği e-posta adresi ve telefon bilgilerinin güncellenmekte olduğu,  misafir rezervasyonunun önceki kayıtlarda yer alan e-posta adresine veya telefon numarasına gönderilmesinin de önüne geçildiği; sistemde gerçekleştirilen bu kayıtlarda işlemi yapan temsilcinin giriş yaptığı/login olduğu kendisine ait hesap ile sisteme kaydedildiği/log kaydı alındığı, böylelikle ileride de temsilcinin oluşturduğu ya da sonradan görüntülediği şeklindeki bilgilere erişilebildiği,
  • Yukarıda sayılan her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı, misafir ile paylaşım acente üzerinden yapılan satışlarda misafire elden imza karşılığı teslim edilerek yapılmakta iken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderilmek suretiyle yapıldığı,
  • Log mekanizmasında yazılımların içindeki erişim, değişiklik ve görüntülemelerin tarih, saat ve kişi bazlı olarak kayıt yapıldığı, yaşanabilecek siber saldırılardan korunmak için güvenlik duvarı sistemlerinin bulunduğu, güvenli paylaşımı sağlamak amacıyla güvenli bir dosya paylaşımı uygulamasının kullanıldığı, bu suretle veri sorumlusu tarafından yapılan paylaşımların kişi bazlı olarak gözlemlenebildiği, verilerin veri sorumlusu şirket içerisinde kullanılan cihazlardan USB, e-posta gibi yöntemlerle dışarı çıkarılmasının gerektiğinde engellenmesi ve yine log kaydı alınması için bir “Veri Kayıp Önleme” (DLP) ürününün satın alınıp kurumsal ekiplerinde konumlandırıldığı,
  • Şikâyet konusu rezervasyonun Çağrı Merkezi üzerinden yapıldığı, rezervasyona ilişkin ilk e-posta gönderiminin 20.11.2018 tarihinde ilgili kişinin e-posta adresine rezervasyonun onaylanması için gönderildiği, bu işlemin onaylanmaması sebebiyle 21.11.2018 tarihinde tekrar e-posta gönderildiği, daha sonra konaklama tarihinin yaklaşması sebebiyle aynı adrese 05.12.2018 tarihinde rezervasyon hatırlatma e-postası gönderildiği

hususları belirtilerek veri sorumlusu tarafından ilgili kişi ile kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı, 
  •  “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel veriler ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,    
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkan tanıdığı, buna göre;

a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmünün yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını(USER_NAME) içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • İlgili kişiye gönderilen e-postaların iletim tarihi ve adresine ilişkin olarak log kayıtlarına bakıldığında, veri sorumlusu tarafından ilgili kişinin e-posta adresine 20.11.2018, 21.11.2018 ve 05.12.2018 tarihlerinde şikâyete konu rezervasyon için elektronik posta gönderildiği, bu mesajların içeriğine ilişkin log kayıtlarına bakıldığında; 20.11.2018 ve 21.11.2018 tarihinde gönderilen e-postaların onay için olduğu, 05.12.2018 tarihinde gönderilen e-postada ise rezervasyona ilişkin bilgilendirme yapıldığı,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı

değerlendirmelerinden hareketle;

  • Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
18.03.2021: “Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi”
Karar Tarihi : 18/03/2021
Karar No : 2021/241
Konu Özeti : Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme kapsamında veri sorumlusu sigorta şirketinden savunması istenilmiş, alınan cevabi yazıda özetle;

  • Şikâyetçinin eşinin sigorta ettireninin bir banka olduğu ve Grup Hayat Sigorta Poliçesi ile sigortalı olduğu,
  • Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan Grup Sigortası Sözleşmesi kapsamında sigorta ettiren tarafından bildirilen SGK'lı çalışanların sigortalandığı,  şikâyetçinin eşinin de bu çalışanlardan biri olarak Grup Hayat Sigorta Poliçesi ile sigortalandığı, bu kapsamda murislere toplamda 100.000,00 TL (poliçe teminatının tamamı) ödeme yapıldığı, Poliçe teminatının tamamının murislere ödenmesiyle veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği,
  • Şikâyet konusu Poliçenin müteveffanın eşi varise verilmemesinin hukuki gerekçesi ile ilgili olarak Poliçenin, sigorta ettiren banka ile veri sorumlusu arasında imzalanan Grup Hayat Sigortası arasındaki Sözleşmeye istinaden düzenlenmiş olduğu, sigortalıların bu grup sözleşmesinin tarafı olmadığı, 6102 sayılı Türk Ticaret Kanununun (TTK) 1496 ncı maddesi uyarınca Grup Hayat Sigortası Sözleşmesine/Poliçesine istinaden sigortalılara ayrı ayrı Poliçeler yerine sertifikalar verildiği,
  • Müteveffanın sigortalılığını, sigortalı olduğu dönemi ve sigorta teminatı ile kapsamı gösteren Grup Yıllık Yaşam Sigortası Sertifikasının da veri sorumlusu tarafından şikâyetçi ile paylaşıldığı,
  • Diğer taraftan Grup Hayat Sigortası Sözleşmesinde sigorta ettiren bankaya ait ticari bilgilerin ve o sözleşmeyi imzalayanların kişisel verilerinin yer aldığı, dolayısıyla müteveffanın tarafı olmadığı Grup Hayat Sigortası sözleşmesinin ve buna istinaden düzenlenen Grup Poliçesinin de ne sigortalılarla ne de murisleri ile paylaşma yükümlülüklerinin bulunmadığı,
  • Veri sorumlusunun tüm kanuni yükümlülüklerini yerine getirdiği ancak şikâyetçinin Poliçe kapsamındaki alacağın tam olarak ödenmediğine ilişkin bir kuşkusu varsa, bu Grup Sigortası Sözleşmesinin içeriğini sigorta ettiren ve müteveffanın işvereni olan bankadan talep edebileceği gibi şikâyet dilekçesinde bahsettiği dava dosyasının görülmesi sırasında mahkeme aracılığı ile de pekâlâ celp ettirebileceği, şikâyetçinin daha fazla alacağı olduğunu düşünüyorsa veri sorumlusu aleyhine yargı yoluna da başvurabileceği,
  • Kanunun 11 inci maddesi gereği ilgili kişinin kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahip olduğu ancak şikâyetçinin, eşine ilişkin talep etmiş olduğu Poliçe bilgileri, sertifika, teminat ödemesi vb. hususları eksiksiz paylaşılmış olmasına ve ortada kendisine ait Kanuna aykırı işlenen veri bulunmazken, sigortacılık mevzuatı açısından da tüm yükümlülüklerini yerine getiren veri sorumlusuna yönelik yapılan şikâyetin haksız olduğu  

ifade edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarih ve 2021/241 sayılı Kararı ile;

  • 6698 sayılı Kanunun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, diğer taraftan; Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
  • Diğer taraftan 4721 sayılı Türk Medeni Kanununun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
  • Kanunun 11 inci maddesinde de “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği,
  • Öte yandan, 6102 sayılı Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
11.03.2021: “İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması”
Karar Tarihi : 11/03/2021
Karar No : 2021/230
Konu Özeti : İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
 
İlgili kişinin şikâyeti hakkında Kurumca başlatılan inceleme çerçevesinde veri sorumlusu kamu kurumunun açıklamalarına başvurulmuş olup, alınan cevabi yazıda özetle; 

  • Konu ile ilgili olarak ….  İl Müdürlüğünden bilgi ve belge talep edildiği,
  • Tabi olunan mevzuat kapsamında, Kurumları ile Sosyal Güvenlik Kurumunun (SGK) görev-yetki alanına giren iş ve işlemlerin ilintili olması nedeniyle tüm personel tarafından ilgili Kurum Portalına erişim sağlanabildiği ve “kontrol arayüzü” üzerinden sınırlı şekilde iş ve işlemler gerçekleştirebildiği,
  • Bu sınırlı erişim içerisinde kişilerin kimlik numaraları ile çeşitli sorgulamalar yapılabildiğinden, adı geçen personel de dahil olmak üzere tüm personel tarafından hem rutin işler için hem de günlük rutin dışı talepler nedeniyle söz konusu sorgulamanın sürekli yapıldığı,
  • Öte yandan anılan İl Müdürlüğünce, Kanun ile ilgili Kurumun tüm personelinin defaten bilgilendirildiği ve talimatlandırıldığının bildirildiği,
  • Şikayete konu veri işleme faaliyetini gerçekleştiren personelin konuya ilişkin açıklamalarının alındığı, yapılan açıklamada söz konusu kişi tarafından rutin işinin bir parçası olarak bahsi geçen sorgulamaları sıkça yaptığı, eşinin memur maaş zammına ilişkin kendisini haberdar etmesi üzerine ve kendisinin bilgisi dâhilinde bahsi geçen bilgileri sorguladığı, söz konusu zaman diliminde evliliğin aynı çatı altında sürdüğü, Kanunen aynı konutta yaşayanların istisna kapsamında olduğu ve bahsi geçen bilgilerin eşin bilgisi dahilinde sorgulanmasının sakınca teşkil etmediğini düşündüğü, boşanma davasında eşinin iddiasının aksine maaş bilgisinin paylaşılmadığı, bu bilgileri eşi dışında hiç kimse ile paylaşmadığı ve bu hususta mahkemeden bilgi talep edilebileceği ayrıca söz konusu Portaldan sehven kişisel sorgulama yapması hasebiyle Hizmet Merkezlerince “yazılı olarak” uyarıldığının belirtildiği 

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
  • Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

09.06.2021: “İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması”
Karar Tarihi : 09/06/2021
Karar No : 2021/572
Konu Özeti : İlgili kişi fotoğrafının öğrencisi olduğu okul tarafından kullanılması

 

Kuruma intikal eden şikayette, ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu okul hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • 2018-2019 döneminde öğrencileri olan ilgili kişinin fotoğrafının özel olarak çekilen bir fotoğraf olmadığı, tüm öğrencilerin katılmış olduğu ders ve etkinlikler sırasında çekilen bir fotoğraf olduğu, anılan dönemin sonunda öğrencinin okul değişikliği gerçekleştirdiği, mevcut durumda öğrencileri olmadığı,
  • İlgili kişinin velisinden de izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da olmadığı,
  • İlgili kişinin avukatı tarafından gönderilen ihtarnameye istinaden velinin “Sosyal Medya Paylaşımı” konulu yazılı izninin bir örneğinin bulunduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/06/2021 tarih ve 2021/572 sayılı kararı ile;

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, bu kapsamda, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği,
  • Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,
  • 6698 sayılı Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
  • Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
  • Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından Bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

  • Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

11.03.2021: “Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi”
Karar Tarihi : 11/03/2021
Karar No : 2021/228
Konu Özeti : Hukuk Bürosu tarafından kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi

 

Kuruma intikal eden şikayette özetle ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusunun tespit edilebilmesini teminen alacaklı telekomünikasyon şirketi ve hukuk bürosundan savunması istenilmiştir. 

Şikayet edilen telekomünikasyon şirketinden alınan cevabi yazıda özetle; 

  • İlgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığı ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgisi ile borç bilgisi olduğu,
  • Avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolayısıyla şirket ile avukat arasında akdedilen vekâlet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olup 6698 sayılı Kanun ve ikincil düzenlemeleri kapsamında gerçekleştireceği veri işleme faaliyetleri kapsamında şirketleri ile aynı yükümlülüklere sahip olduğu,
  • İlgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunun 10 uncu maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ilgili kişinin hakları” başlıklı 11 inci maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine/ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği 

ifade edilmiştir.

Şikâyet ile ilgili olarak Kurumca istenilen savunmasına istinaden alacaklı telekomünikasyon şirketi adına hareket ettiği belirtilen avukat tarafından Kuruma intikal ettirilen cevap yazısında ise özetle;

  • İlgili kişi tarafından usulüne uygun olarak yapılan ve taraflarına tebliğ edilmiş bir başvurunun bulunmadığı, Tebligat Kanununun 32 nci maddesinde yer aldığı üzere tebliğ usule aykırı olmuş olsa dahi muhatabın tebliği öğrenmesi halinde tebliğin geçerli olacağı ancak taraflarına usulüne uygun bir tebligat yapılmadığından Kuruma şikayette bulunulmayacağı ve şikayetin incelenmesinin hukuken mümkün olmadığı,
  • Borcun alacaklısı şirket ile aralarında vekâlet ilişkisi bulunduğu, bu itibarla alacaklı şirketin avukatlığı görevinin taraflarınca yürütüldüğü, aralarındaki vekâlet ilişkisi sebebiyle alacakların tahsil edilebilmesi için taraflarınca icra takipleri başlatıldığı ve avukat-müvekkil ilişkisi çerçevesinde tüm hukuki işlemlerin yürütüldüğü,  avukatlık mesleği gereğince Avukatlık Kanunu ve ilgili diğer tüm mevzuat çerçevesinde avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu,
  • Şikayete konu icra dosyası ve borcun tahsili açısından dosya borçlusu şirket hakkında yapılan araştırma neticesinde Ticaret Sicil Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan bir kuruluşun sunduğu hizmetten yararlanarak ilgili kişinin telefon numaralarına ulaşıldığı ve borçlu şirket yetkililerine borcun bildirildiği, kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında hiçbir zaman bulunulmadığı yalnızca şirket borcundan dolayı şirket yetkililerine borç bildirildiği, söz konusu telefon numaralarının Avukatlık Kanununun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiği, bununla birlikte, müvekkilin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği 

hususları belirtilmiştir. 

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, 
  • Kanunun 12 nci maddesinde “(1) Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır…” hükümlerine yer verildiği,
  • Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
  • Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
  • Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
  • İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
  • İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
  • İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirmelerinden hareketle, 

  • Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 
  • Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

04.06.2021: “Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi”
Karar Tarihi : 04/06/2021
Karar No : 2021/545
Konu Özeti : Veri sorumlusu firma tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi

Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağı,
  • Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı, 
  • Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı,
  • Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmüne yer verildiği,

  • Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
  • Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

11.03.2021: “Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi”
Karar Tarihi : 11/03/2021
Karar No : 2021/227
Konu Özeti : Bir eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının ilgili kişinin açık rızasına ve herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yasal süre içerisinde yanıt alamadığı, ihlalin yaygın olduğu ve benzer mesajların herkese gönderildiğinin düşünüldüğü ifade edilerek eğitim kurumu hakkında gerekli işlemlerin tesis edilmesi istenilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • Veri sorumlusunun SMS gönderme uygulamasının olmadığı ve ilgili kişiye mesaj gönderilmediği,
  • Veri sorumlusu tarafından işletilen bir eğitim kurumu bulunmadığı, çeşitli kurumlar ile isim hakkı sözleşmesi düzenlendiği, bu anlamda isim hakkı sözleşmesi düzenlenen ve eğitim alanında hizmet sunan bir şirketin şikâyete konu SMS gönderim eylemini gerçekleştirdiği, söz konusu şirketin SMS gönderimini yasal olarak gerçekleştirdiklerini beyan ettikleri ve şikâyete ilişkin bilgi ve belgelerin bu firmadan talep edilmesi gerektiği ifade edilmiştir.

Bu kapsamda, ilgili kişinin şikâyeti hakkında bahsi geçen şirkete bilgi verilmiş, başvuruda belirtilen iddialara ilişkin savunması istenilmiş olup, alınan cevabi yazıda;

  • Anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı; ancak bu bilgilerin alınabilmesi için anket dolduran kişilerin SMS ya da başka iletişim araçlarına onay vermiş olmasının şart olduğu,
  • Şikâyete konu olaydaki telefon numarasının da bir medya anket şirketinden alındığı bununla birlikte sosyal medya ve toplu SMS anket formunu dolduran kişi tarafından, anketin doldurulması esnasında iletişim bilgisi olarak sehven şikâyetçinin iletişim bilgisinin verildiği, kendilerinin bunu denetleme imkanının olmadığı,
  • Anket içeriğinde SMS gönderimine izin verildiği, şirketlerinin onay vermeyen kimseye SMS göndermediği; dolayısıyla şirketlerinin ihlal iddiasına ilişkin bir kusurunun bulunmadığı 

ifade edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/227 sayılı Kararı ile, 

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlandığı, açık rızanın, Kanunda hukuka uygunluk sebeplerinden biri olduğu, Kurumca yayımlanan “Açık Rıza” Rehberine göre; açık rıza açıklamasının, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlaması, bu kapsamda açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, açık rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu, kişisel veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği,  açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağının açıkça belirtilmesinin önemli olduğu,
  • Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
  • Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı kapsamında; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,
  • Ticari elektronik iletilere ilişkin alınacak onayların şekline ilişkin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
  • Şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

27.04.2021: “Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası”
Karar Tarihi : 27/04/2021
Karar No : 2021/424
Konu Özeti : Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlatması

 

Kurumumuza intikal eden şikâyet dilekçesinde;

  • İlgili kişiye yönelik olarak yetkili icra dairesi tarafından icra takibi başlatıldığı, ilgili kişinin bu durumu 2017 yılı Şubat ayında ev kredisi çekmek isterken öğrendiği, 2010 yılında ilgili kişinin evine gelen bir saha müfettişinin, ilgili Bankaya borçlu olduğunu ve bunu ödemesi gerektiğini söylediği,
  • İlgili kişinin bu şahsa, kendisinin Bankaya hiçbir şekilde gitmediğini ve bahse konu Bankada bir hesabının da bulunmadığını söylediği, adresini ne şekilde öğrendiğini sorduğunda “biz buluruz” cevabını aldığı,
  • İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü,
  • Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
  • İlgili kişinin konu hakkında BİMER’e bulunduğu şikâyet üzerine açılan soruşturma dosyasına Banka şubesinin verdiği cevapta ilgili kişinin 21.02.2017 tarihinde şubeye başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği ve kredi kayıt bürosu (KKB) kayıtlarının düzeltildiği, takip hesabının devir yapıldığı Varlık Yönetimi Şirketine ayrıca bilgilendirmenin yapıldığının belirtildiği,
  • Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu,
  • Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği

hususları ifade edilerek anılan taraflar hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde Bankanın, Varlık Yönetim Şirketinin ve avukatların savunması istenilmiş olup, Bankadan alınan cevabi yazıda özetle;

  • İlgili kişi ile Banka arasındaki müşteri ilişkisinin 23.06.2003 tarihinde kurulduğu ve kredinin 28.11.2007 tarihinde bankanın kanuni takip hesaplarına intikal ettiği, ödeme yapılmaması üzerine 09.02.2008 tarihinde yetkili İcra Müdürlüğünün dosyası ile kredili müşteri aleyhine icra takibi başlatıldığı, takip süreci içerisinde herhangi bir tahsilat sağlanamadığından kredi riskinin 05.01.2010 tarihinde Varlık Yönetim Şirketine temlik edildiği,
  • 21.02.2017 tarihinde Bankanın ilgili şubesine şikayetçi tarafından başvuru yapılarak borçlu olarak görünen kişi ile isim benzerliği olduğunu ve hatanın düzeltilmesini talep ettiği, bunun üzerine yapılan kontrollerde, ilgili kişiye ait T.C. kimlik numarasının, borçlu adına tanımlı olduğunun ve ilgili kişi ile borçlunun Banka sistemlerinde sadece T.C. kimlik numarasının aynı olup diğer tüm verilerinin ise farklı olduğunun tespit edildiği, böylelikle takip borçlusu için 23.06.2003 tarihinde müşteri kaydı oluşturulduğu sırada T.C. kimlik numarası olarak sehven ilgili kişiye ait T.C. kimlik numarasının kaydedildiğinin anlaşıldığı,
  • Veri sorumlusu Bankaya şikâyetin ulaştığı 21.02.2017 tarihinde derhal ilgili kişinin T.C. kimlik numarasının, borçlunun müşteri bilgileri altından silinmesinin sağlandığı, ayrıca Kredi Referans Sistemi (KRS) ekranlarında yapılan kontrollerde 5 yıl geçtiği için kayıtların da silindiğinin görüldüğü, Bankaca yapılan tespit üzerine, dosyanın temlik edildiği yeni alacaklı Varlık Yönetim Şirketine bilgilendirme yapılarak borçlunun telefon numarası verisinin güncel ve doğru olmasına ilişkin sorumluluğunu yerine getirildiği,
  • Yapılan incelemede ilgili kişinin 30.10.2019 tarihinde Bankaya ilettiği başvurusuna 12.11.2019 tarihinde yanıt verildiği ancak bu cevabın sehven farklı uzantılı bir e-posta adresi üzerinden iletilmeye çalışıldığı fakat KEP uzantılı e-posta hesaplarına ancak KEP uzantılı e-postalar aracılığı ile gönderim yapılabildiğinden bahse konu cevabın ilgili kişiye ulaşmadığı

hususları ifade edilmiştir.

Veri sorumlusu Varlık Yönetim Şirketinden alınan cevabi yazıda özetle;

  • Sözleşme kapsamında şirketin yeni alacaklısı konumunda olduğu kredi borcu bakımından alacağın takibine ve tahsiline yönelik hukuki işlemlerin temlik sözleşmesinin imzalanmasından önceki dönemde Banka tarafından başlatılmış olduğu ve borçlu taraf olarak ilgili kişi ile arasında isim benzerliği bulunan üçüncü kişinin gösterilmesi gerekirken ilgili kişinin borçlu taraf olarak gösterildiği,
  • İcra Müdürlüğü dosyasında mevcut bulunduğu belirtilen müzekkerede borçluya ait kimlik bilgilerinin yer almasına karşın, borçlunun adresinin tespiti için 2009 yılında SSK Tahsisler Daire Başkanlığına yazılan yazıda, veri sorumlusu Banka tarafından ilgili kişiye ait olan T.C. kimlik numarasına yer verildiği, bu işlemlerin hepsinin Banka ile Şirketleri arasında akdedilen sözleşmenin imzasından önce gerçekleştirildiği,
  • İlgili kişinin Haziran 2019 tarihine kadar Şirketlerine herhangi bir başvuruda bulunmadığı, bu tarihte iletilen şikâyet üzerine ivedilikle veri sorumlusu Banka ile iletişime geçerek bilgi talebinde bulunduğu, bunu müteakip veri sorumlusu Bankadan yapılan, ilgili kişinin T.C. kimlik numarasının sehven borçluya ait MBB numarasının üzerine kaydedildiği bilgilendirmesi üzerine veri sorumlusu şirket tarafından ilgili kişiye, dosyadan taraf kaydının ve T.C. kimlik numarasının silindiğine dair bilgilendirmede bulunulduğu, Banka tarafından iletilen bilgiler doğrultusunda ilgili kişinin kişisel verilerinin tahsilat sisteminden silindiği ve 29.07.2019 tarihinde TBB Risk Merkezi’nde ilgili kişinin kendilerine borçlu olmadığına dair güncellemenin gerçekleştirildiği,
  • Bu konulara ilişkin bilgilendirmenin ilgili kişiye noter ihtarnamesi vasıtasıyla yapıldığı, tahsilat sistemleri ve TBB Risk Merkezi bilgilerinde yapılan sorgular sonucunda ilgili kişiye ait bilgilerin sonuçlar arasında gösterilmediği ve “veri bulunamadı” sonucu alındığının doğrulandığı ve bu hususta ilgili kişiye bilgi verildiği,
  • İlgili kişiye ait kişisel verilerin arşiv kayıtlarının saklanmasının hukukî mesnedinin ileride doğabilecek uyuşmazlıklarda delil teşkil etmesi bakımından ilgili mahkeme veya yetkili kurum ve kuruluşlara ibraz edilmesi amacıyla sınırlı olarak, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hükmü olduğu

ifade edilmiştir.

İlk avukattan alınan yazıda özetle;

  • Kendisinin 13 yıl kadar önce, 2007-2008 yılları içinde çok kısa bir dönem ilgili Bankanın vekillik görevini icra ettiği ve 2008 yılı içinde vekillik görevinden ayrılarak tarafınca açılan tüm dosyaları bankaya devir ve teslim ettiği, bu tarihten sonra bu dosyalarla ilgili hiçbir işlemin tarafı olmadığı,
  • Söz konusu dönemde kendisi tarafından açılan icra takiplerine ilişkin ad, soyad, adres gibi bilgilerin tamamının Banka tarafından kendisine iletildiği ve buna göre icra takiplerinin başlatıldığı, bu bilgilerde bir hata var ise kendisinin bunu bilmesine imkân olmadığı

ifade edilmiştir.

İkinci avukattan alınan yazıda özetle,

  • Şikâyete konu icra dosyasında avukatlığını yaptığı müvekkil şirketin bir varlık yönetimi şirketi olduğu ve bankaların tahsili gecikmiş alacaklarını ihale usulü ile satın alarak elde etmekte olduğu,
  • Genel olarak bu tür dosyalarda yeni bir icra takip işleminin yapılmayıp bankaların daha önce açmış olduğu icra takipleri üzerinden işlemlere devam edilmekte olduğu, bu aşamada yeni bir takip yapılmadığından bankalarca icra dosyası açılırken girilen bilgilerin dosyanın devamında kullanılmakta olduğu,
  • Müvekkil Şirketin bahse konu dosyadaki borçlunun mal varlığının tespiti için mal varlığı sorgulama işleminin yapılması talimatını verdiği,
  • Kişisel verilerin kendisine ait hukuk bürosu uhdesinde kayıt altında tutulmadığı, müvekkil Şirket ile yapılan yazışmalarda da müvekkil Şirketin hem şirket bünyesinde hem de Bankada tutulan bilgilerin silinmesini sağladığı bilgilerinin kendilerine iletildiği

hususları ifade edilmiştir.

Üçüncü avukat tarafından ise Kurum yazısına herhangi bir cevap verilmemiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde ilgili kişinin, kişisel verisi işlenen gerçek kişi; veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; veri işleyenin ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer almakta olduğu,
  • Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet Müdürlüğünün İcra Müdürlüğün