Mevzuat ve Kurul Kararları – 2

Türkiye ve Dünyada

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

KVKK KURUL KARAR ÖZETLERİ (2018-2022)


Karar Özetleri:

07.07.2022: “İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi”
Karar Tarihi : 07/07/2022
Karar No : 2022/662
Konu Özeti : İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından işlenmesi

 

Kuruma intikal eden şikâyette özetle; ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı, sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.

Şikâyet konusuna ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevap yazısında özetle;

  • İlgili kişinin şikayetinin temel dayanağında; abonelerin işletmenin girişinde, bir cihaz vasıtasıyla parmak izi ve avuç izlerinin taranması suretiyle alana girilebildiği iddiasının bulunduğu, 
  • İşletme girişinde, kayıtlı abonelerin kimliğinin tanınması amacıyla “… El Geometrisi Terminali” adlı bir cihaz kullanıldığı, bu cihazın parmak veya avuç izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, 
  • Bu noktada “el geometrisi” kavramını açıklamakta fayda olduğu, parmak izi ve avuç izinin kişiye özgü, bir başka ifadeyle başka bir kişide benzeri mümkün olmayan biyometrik veriler olduğu, 
  • El geometrisinde ise, cihaza okutulan elin, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği, cihaza konulan elin, yalnızca üst kısmının tarandığı, parmak izi veya avuç izinin bulunduğu elin iç kısmını tarayacak herhangi bir mekanizmanın cihazda bulunmadığı, bir başka ifadeyle, tıpkı bir insanın boyunun ölçülmesi gibi kişinin elinin ölçülerinin cihaz vasıtasıyla tarandığı, 
  • El geometrisi kavramının, parmak veya avuç izinden temel olarak farkının, parmak veya avuç izinin kişiye özel olmasına karşın, el geometrisinin bu tarz kişiye ait bir özelliğinin bulunmadığı, örneğin, X kişisinin parmak izinin Y kişisiyle aynı olması mümkün değilken, X kişisinin el geometrisinin Y kişisiyle aynı olmasının mümkün olabileceği, bu durum KVKK kapsamında değerlendirildiğinde, parmak veya avuç izi kişiye özel olduğu için özel nitelikli kişisel veri iken el geometrisinin başkaca iki insanda aynı çıkabileceği için sadece kişisel veri hükmünde bir veri olduğu, bir başka ifadeyle el geometrisinin, kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri olduğu,
  • Bu cihazın çalışma şeklinden bahsedildiğinde; abonelerin el geometrisinin alınmasının tek başına yeterli olmadığı, abonelerin öncelikle, sadece kendilerinin bildiği bir şifreyi, ilgili cihaza tanımladığı, daha sonrasında ise el geometrisinin ilgili cihaz tarafından çıkarıldığı, bu aşamadan sonra, abonenin cihazı her kullanışında şifresini cihaza girmesi ve ardından elini cihaza okutması gerektiği, diğere bir ifade ile kişinin el geometrisinin alınmasının, kişiyi doğru bir şekilde eşleştirmede tek başına yeterli bir husus olmadığı, bunun sebebinin de yukarıda bahsedildiği üzere, el geometrisinin ilgili kişiden başka biriyle de aynı olabileceği, ilgili kişinin ayrıca kendi belirlediği bir şifre ile cihazın kötüye kullanımının önüne geçildiği, el geometrisinin, parmak veya avuç iziyle aynı nitelikte olması halinde, kişiye özgü bir şifre belirlenmesi gibi ayrıca bir teyit işlemine gerek kalmadan, kişinin sadece el geometrisini cihaza okutmasının yeterli olacağı, fakat bu hususun bilimsel gerçekler karşısında mümkün olmayıp, el geometrisinin kişiye özgü olmamasından dolayı, bu kimlik doğrulama tekniğinin yanında şifre girilmesi gibi başkaca teyit mekanizmalarına da ihtiyaç duyulduğu,
  • Bu hususlar göz önüne alındığında, şirketin abonelerinden aldığı, el geometrisi verisinin niteliği itibariyle özel nitelikli kişisel veri değil; normal bir kişisel veri olduğu, bu nedenlerle ilgili kişinin, şirketin abonelerinden parmak izi veya avuç izini aldığı iddiasının tamamıyla gerçek dışı bir iddia olduğu, yine ilgili kişinin üyelere şifre verildiği iddiasının da doğru olmadığı, abonelerin kendi şifrelerini kendilerinin oluşturduğu ve bu şifre ile el geometrisini cihaza girerek alana giriş yapabildiği, 
  • Bu kapsamda gerek el geometrisi alınmasının gerekse de kişilerin bu cihazı kullanırken kendilerine özgü şifre oluşturmasının amacının işletmeye ilgili kişiden başkasının girmesini önlemek, aboneliğin kötüye kullanımının önüne geçmek olduğu, şirket tarafından söz konusu önlemler alınırken gerek 6698 sayılı Kanunun herhangi bir hükmünün gerekse de Kurulun ilke kararlarından hiçbirinin ihlal edilmediği,   ilgili kişinin kişisel verilerinin işlenmesi durumunun 6698 sayılı Kanun’un 5’inci maddesi kapsamında kaldığı ve bu verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamındaki gerekçeyle işlendiği, ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği  

 
ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/662 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 
    (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
    (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın    kişisel verilerinin işlenmesi mümkündür:
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
         ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
                      d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    hükmünü haiz olduğu,  
  • 6698 sayılı Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinde de “… kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”nin özel nitelikli kişisel veri olarak belirlendiği, maddenin devamında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında da birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,  dolayısıyla veri sorumlusu tarafından Kanun’a uygun olarak kişisel verilerin işlenmesinin ancak Kanun’un 5’inci ve 6’ncı maddesinde yer verilen işleme şartlarının varlığında mümkün bulunduğu,
  • Öncelikle şikâyete konu olan kişisel verinin niteliğinin, özel nitelikli kişisel veri olup olmadığının tespit edilmesi gerektiği, nitekim veri sorumlusundan alınan cevap yazısında; cihazın avuç içi veya parmak izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, bu anlamda cihaz tarafından kaydedilen bilginin biyometrik niteliğe haiz olmayan “el geometrisi” bilgisi olduğu ve bu bilginin benzerinin başka bir kişide olma ihtimali bulunduğundan söz konusu bilginin kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri niteliğinde olduğunun belirtildiği,    
  • Bu kapsamda veri sorumlusunun cevap yazısında yer verdiği abonelerin, veri sorumlusuna ait hizmet binasına girişlerinde, kimlik tanıma amaçlı kullandığı “… El Geometrisi Terminali” isimli cihazın ilgili kişilere ait hangi bilgiyi işlediği ve kişi ile eşleştirmede bulunulan bilginin niteliğinin belirlenmesi gerektiği,  
  • İlgili cihaz hakkında açık kaynaklar üzerinden araştırma yapıldığında; öncelikle cihazın isminin “… Biyometrik El Terminali” olduğunun görüldüğü ve el geometrisi okuma teknolojisinin, adından da anlaşılacağı gibi kullanıcıların el ve parmak gibi fiziksel karakteristiklerinin üç boyutlu bir ortamda ölçülebilmesi prensibine dayandığı, bu sistemde elin 31.000 noktadan üç boyutlu olarak taranarak, elin ve parmakların karakteristiklerinin analiz edildiği, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerinin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği bilgilerine yer verildiğinin tespit edildiği, ayrıca açıklamalarda biyometrik sistemlerin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak el geometrisinde her el için 9 karakterlik bir kodun mevcut olduğu, bu 9 karakterden her birinin 10 rakam ve 26 harften oluşan toplam 36 olasılık içerdiği yani sistemin yanılma olasılığının 1/36x36x36x36x36x36x36x36x36 = 1/101.559.956.668.416 olduğunun belirtildiği, doğrulama işleminin nasıl yapılacağına ilişkin olarak ise; veri sorumlusu tarafından başka bir kişi ile eşleme ihtimaline binaen şifre ile ikincil bir doğrulama olduğu ifade edilse de cihaza ilişkin açıklamalarda önce kod girilerek kişinin kendisine ait görüntüyü çağırdığı ve elini cihazın altına koyduğu anda doğrulamanın 1 sn’nin altında bir hızla gerçekleştiğinin ifade edildiği, 
  • Kimlik doğrulamanın; bir kişinin belirli bir kimliğe sahip olduğunu ve/veya bir güvenlik alanına girme veya şikâyete konu somut olaydaki gibi hizmet alınan alana giriş gibi bazı eylemleri yapmaya yetkili olduğunu kanıtlayan bir prosedür olduğu, kimlik doğrulamaya ilişkin kanıtlama, şifre gibi yalnızca belirli bir kimliği veya yetkisi olan kişi tarafından bilinmesi gereken bilginin sorulmasıyla sağlanabileceği gibi somut olayın özelliklerine göre yüz tanıma, parmak izi gibi biyometrik verilerle de yapılabildiği, 
  • Danıştay’ın 15. Dairesinin 2014/4562 Esas sayılı Kararında; biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun belirtildiği, 
  • Avrupa Genel Veri Koruma Tüzüğünün (GVKT), 4’üncü maddesinde de biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı, aynı zamanda Tüzüğün Resital bölümünün 51’inci maddesinde de yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter olarak alındığı, 
  • Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 4 Aralık 2008 tarihli S. ve Marper/Birleşik Krallık Kararında; parmak izleri, biyolojik örnekler ve genetik profillerin kişisel veri olarak nitelendirildiği, mahkemenin, kişisel verilerin kullanılmasının Sözleşme'nin 8’inci maddesinde yer alan güvencelere aykırılık teşkil etmesinin önüne geçilmesi amacıyla yeterli güvenceleri sağlayacak şekilde iç hukukta düzenlemeler yapılması gerektiğini belirttiği, AİHM’nin, bu tür güvencelere olan ihtiyacın öneminin otomatik olarak işlenen kişisel verilerin korunmasının söz konusu olduğu durumlarda daha da arttığını vurguladığı,  
  • Diğer taraftan Anayasa Mahkemesi’nin parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği yönündeki 2018/11988 başvuru numaralı ve 10/03/2022 tarihli Kararında; 6698 sayılı Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin tahdidi olarak sayılmak suretiyle işlenmesini genel nitelikli verilere göre daha sıkı koşullara bağlandığını, özel nitelikli kişisel veri olarak kabul edilen biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini belirttiği, aynı zamanda biyometrik yöntemlerin kullanılması için kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceğine, kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin de idare tarafından sağlanması gerektiğine dikkat çektiği, 
  • Şikayet konusu olayda; ilgili kişinin ve diğer abonelerin hizmet binasına giriş denetimlerinde, el geometrisi bilgisinin işlendiğinin anlaşıldığı, kişisel verilerin korunmasına yönelik düzenlemelerde biyometrik veri tanımının; parmak izi, avuç izi, yüz tanıma, iris tanıma gibi sayılarak sınırları ve çeşitlerinin belirlenmediği, öyle ki, biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu, dolayısıyla veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı, 
  • Bu doğrultuda, 6698 sayılı Kanun’da özel nitelikli kişisel verilerin işlenmesinin, genel nitelikteki kişisel verilere nazaran daha sıkı koşullara bağlandığı, Kanun’un 6’ncı maddesi uyarınca; özel nitelikli kişisel veri niteliğini haiz olan biyometrik verinin işlenmesinin ancak açık rızanın bulunması veya kanunlarda açıkça öngörülmesi halinde mümkün olabildiği, bu anlamda biyometrik verilerin kaydedilmesi yöntemiyle hizmet binasına giriş yönteminin uygulanabilmesi için kanunlarda düzenlenmeyen hâllerde kişinin açık rızasının mevcut olması gerektiği, bu kapsamda konuya ilişkin Kanunda öngörülen bir durumun söz konusu olup olmadığı incelendiğinde herhangi bir kanun hükmüne rastlanmadığı, 
  • Diğer taraftan somut olayda ilgili kişinin veri sorumlusu nezdindeki hizmet binasına girişlerde kullanılması amacıyla el geometrisi bilgisinin veri sorumlusu tarafından kaydedilmesine yönelik özel nitelikli kişisel verisinin işlenmesine rıza göstermediği hususunda da bir ihtilafın söz konusu olmadığı, nitekim ilgili kişinin Kuruma ilettiği şikâyet dilekçesinde de açık rızanın varlığından söz edebilmek için gerekli olan işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında ilgili kişiye önceden yeterli düzeyde bilgilendirmede bulunulmadığının anlaşıldığı, 
  • Tespitler ışığında, veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı, bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanun’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği sonucuna varıldığı,  
  • Bilindiği üzere 6698 sayılı Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin;
    “(1) Veri sorumlusu;
           a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,    
           b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
           c) Kişisel verilerin muhafazasını sağlamak,
     amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
    ” hükmünü haiz olduğu, 
  • Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkına sahip olduğunun düzenlendiği,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrasının “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmünü haiz olduğu, 
  • Diğer taraftan Kanun’un 15’inci maddesinin (7) numaralı fıkrasında “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.” hükmüne yer verildiği

değerlendirmelerinden hareketle;

  • Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, veri sorumlusundan alınan cevap yazısında ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fıziken mümkün olmadığı ifade edildiğinden, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine,
  • Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

05.07.2019: “İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı”
Karar Tarihi : 05/07/2019
Karar No : 2019/198
Konu Özeti : İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı

 

Kuruma intikal eden dilekçede özetle; veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur. 

İhbarda yer alan konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Sadakat programına dahil olmak isteyen ilgili kişilere sunulan açık rıza metninde açık rızanın hangi amaçları içerdiği açıkça sıralanarak açık rızanın belirli bir konuya ilişkin olma unsurunun karşılandığı,
  • İlgili kişilere açık rıza metni sunulmakla birlikte ayrıca kişisel verilerinin işlenmesine ve haklarına ilişkin olarak mevzuata uygun şekilde aydınlatma yapıldığı,
  • Sadakat programı dahilinde açık rıza vermek istemeyen ilgili kişilere mağazalarından ve internet siteleri üzerinden her daim alışveriş imkanı sunulduğu, ürün ve hizmetlerinin herkesin erişimine açık olduğu ve belirlenen fiyatlar üzerinden herkes tarafından temin edilebildiği, bu ürün veya hizmetlerde yapılan indirimlerin ise ürün veya hizmetin rayiç bedelinin altında ve ek bir menfaat niteliğinde olduğu,
  • Program dahilinde ve ilgili kişiler tarafından açık rıza verilmesi halinde yararlanılabilen indirimlerin ana ürün veya hizmetin sunumuna ilişkin olmayıp ek menfaat niteliğinde olduğu ve bu durumun ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmediğini gösterdiği,
  • Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının mehaz Avrupa Birliği mevzuatında da açıkça kabul edildiği ve bu durumun Avrupa Birliği Veri Koruma Hukuku Hakkında El Kitabında (Handbook on European Data Protection Law) “… rıza vermeme sonucunda negatif sonuçlar doğacak olması rızanın geçerli olmayacağı anlamına gelmemektedir. Örneğin eğer süpermarket müşteri kartına rıza verilmemesi yalnızca belirli ürün fiyatlarına küçük bir miktar indirimin elde edilmemesi sonucunu doğuruyorsa söz konusu kartı almaya rıza veren müşterilerin kişisel verilerinin işlenmesi açısından rıza geçerli bir hukuki sebep olarak değerlendirilebilecektir. Müşteri ile şirket arasında bir altüst bağı yoktur ve rıza verilmemesinin sonuçları veri sahibinin özgür iradesini etkileyecek kadar ciddi değildir (ürün üzerinde yapılacak olan indirim veri sahibinin özgür iradesini etkilemeyecek kadar küçük miktardadır). …” şeklindeki açıklama ile ortaya koyulduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/07/2019 tarih ve 2019/198 sayılı sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendi hükmü uyarınca açık rızanın belirli bir konuya ilişkin olma, bilgilendirmeye dayanma, özgür irade ile açıklanma şeklinde üç unsuru olduğu,
  • İncelemeye konu ihbar niteliğindeki dilekçede yer alan bilgiler çerçevesinde veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak belirlediğinin ve satışa sunduğunun anlaşıldığı,
  • Sadakat kart programına dahil olmak istemeyen ve/veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin veri sorumlusunun mağazalarından alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği,
  • Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

17.03.2022: “Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 17/03/2022
Karar No : 2022/243
Konu Özeti : Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken, ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi

 

Kuruma intikal eden şikâyette özetle; ilgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği, bu şahsın siparişi verirken ilgili kişiye ait e-posta adresini kullandığı, veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişi ile aynı adı taşıyan bir kullanıcı tarafından isim benzerliğinden kaynaklı olarak Şirketlerine sehven “(...)@gmail.com” e-posta adresinin bildirilerek misafir müşteri girişi ile üyelik hesabı oluşturulmaksızın söz konusu siparişin verildiği, söz konusu e-posta adresi için ilgili kişi veya bir başka kişi adına üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya kişiye ait kimlik bilgilerinin işlenmediği,    
  • Verilerin doğru ve gerektiğinde güncel olmasını sağlamak adına kullanıcılara, üyeliğe ilişkin kişisel verilerini, “hesabım” sayfasında yer alan “üyelik bilgilerim” kısmından değiştirme imkanı sağlandığı ancak Şirketin sisteminde üyelik, e-posta adresine bağlı oluşturulduğundan, mevcut üyelikler için e-posta adresinin değiştirilemediği, bu nedenle yeni bir e-posta adresi kullanmak isteyen kullanıcıların internet sitesi ya da  mobil uygulama üzerinden veya müşteri hizmetlerini arayarak kullanmak istedikleri e-posta adresi ile yeni üyelik açtırabilecekleri
  • Üçüncü bir kişi tarafından ilgili kişiye ait e-posta adresi ile gerçekleştirdiği üyelik işlemi sırasında eğer ilgili kişiye ait e-posta adresi ile halihazırda bir üyelik oluşturulmuş ise yeni bir kullanıcının aynı e-posta adresi ile yeni bir üyelik oluşturamadığı ancak somut olayda ilgili kişinin “(...)@gmail.com” e-posta adresi ile üyelik hesabı bulunmadığı için başka bir kullanıcı tarafından misafir girişi yaparak isim benzerliği ile sehven bu e-posta adresinin kullanılarak sipariş oluşturulabildiği, 
  • Misafir girişlerinde, kullanıcıların internet sitesinde kendi istekleri doğrultusunda işlemleri gerçekleştirebilmeleri ve işlemlerin kolaylaştırılması amacıyla e-posta doğrulaması yapılmadığı, internet sitesinde üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken, sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak teknik geliştirme çalışmalarına başlandığı, Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararı uyarınca alınacak teknik önlemlere ilişkin Kurulun da görüşüne başvurulduğu, tamamen kontrolleri dışında gerçekleşen bu durumun önüne geçmek ve sehven hatalı veri girişlerini engellemek amacıyla planlar yapıldığı,
  • Bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilerek sipariş oluşturulduğu, ilgili kişiye ait e-posta adresi ile ilgili kişiye ait herhangi bir verinin eşleşmediği ve kişiye ait kimlik bilgilerinin işlenmediği, dolayısıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinin somut olayda söz konusu olmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesinin (5) numaralı fıkrası hükmü ile Avrupa Genel Veri Koruma Tüzüğünde yer alan veri ihlali tanımı dikkate alınarak Kuruma veri ihlal bildiriminde bulunulmadığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/243 sayılı Kararı ile;

  • Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı;  
  • Bu çerçevede şikâyete konu olayda, şikayetçinin uzaktan satış sözleşmesinin tarafı olmayan ilgili kişi, şikayete konu olan … A.Ş’nin veri sorumlusu, ilgili kişinin e-posta adresinin kişisel veri, ilgili kişinin e-posta adresine veri sorumlusu tarafından ilgili kişiye ileti gönderilmesi suretiyle e-posta adresinin kullanılmasının da kişisel veri işleme faaliyeti olduğunun değerlendirildiği,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Şikayete konu olayda, ilgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait e-posta adresini sehven girerek sipariş verdiği, “(...)@gmail.com” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığı, 
  • Sipariş detayları incelendiğinde; gönderici adı, soyadı ve e-posta adresi olarak ilgili kişinin adı, soyadı ve “(...)@gmail.com” e-posta adresinin yer aldığı, bunun yanı sıra alıcı bilgisi olarak üçüncü bir kişinin adresinin açıkça faturada yer aldığı, 
  • Kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu, şikâyet konusu olayda üye olmadan misafir girişi ile verilen siparişlerde e-fatura gönderiminin temini için e-posta bilgisi beyan edilmeden alışveriş yapılamadığı, 
  • Öte yandan 05.03.2010 tarihinde yayımlanan 397 sıra numaralı Vergi Usul Kanunu Genel Tebliği ile elektronik fatura (e-fatura) uygulamasının vergi mevzuatımıza dahil edilmiş bulunduğu, söz konusu genel tebliğde belirtilen koşulları sağlayan mükelleflerin kendi istekleri ile seçebileceği bir uygulama olarak başlayan e-fatura uygulamasının zorunlu hale getirildiği, elektronik ticaret ortamı sağlayan gerçek ve tüzel kişi hizmet sağlayıcılarının da e-fatura uygulamasına geçiş yapma zorunluluğu bulunduğu, bu anlamda veri sorumlusu tarafından ilgili kişilere ait e-posta adresinin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince bir hukuki yükümlülüğün yerine getirilmesi amacıyla kişisel verilerin işlenmesi şartına uygun olarak veri işlendiği yönünde değerlendirilebileceği,
  • Bununla birlikte faturanın, ticaret ve vergi mevzuatı bakımından işlemin tarafları arasında borç ilişkisinin varlığı veya akdin ifasını gösteren delil niteliğinde bir belge olup ispat ve itiraz aracı olarak kullanılabildiği, çeşitli Yargıtay kararlarında da faturanın bu işlevine dikkat çekildiği, bu çerçevede faturanın doğru muhataba/adrese gönderilmesinin önem taşıdığı, elektronik ortamlar üzerinden yapılan alışverişlerde kişiler tarafından telefon veya e-posta bilgilerinin beyanında yanlışlık yapılması sık karşılaşılabilen bir durum olduğundan faturanın yanlış muhataba/adrese gönderilmesi durumunda hak kaybı yaşanmasının muhtemel olduğu, bu açıdan veri sorumlusunun e-posta adreslerinin işlenmesine yönelik olarak her ne kadar Kanun’un 5’inci maddesi gereğince bir işleme sebebine dayanması söz konusu ise de kişisel verilerin Kanun’un 4’ncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine uygun işlenmesi hususunda aktif özen yükümlülüğü bulunduğunun da göz ardı edilemeyeceği,
  • Veri sorumlusunun, e-posta adresinin alışveriş yapan kişi tarafından kullanılıp kullanılmadığını teyide yönelik gerekli tedbirleri/doğrulama mekanizmalarını uygulamaya alması gerekirken, buna yönelik bir doğrulama mekanizmanın devrede olmadığı, işlem kolaylığı açısından üye olmadan misafir girişi ile yapılan alışverişlerde e-posta doğrulaması yapılmadığının beyan edildiği,
  • Söz konusu işlemde bir teyit mekanizmasının bulunmamasının, hak kaybına sebebiyet verebilmesinin yanı sıra internet sitesinde üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı anlamına da gelebileceği, faturaların gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta ve sipariş bilgilerini ihtiva edebildiği, faturanın konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği, nitekim alıcının adresi ve sipariş bilgilerinin de ilgili kişi tarafından öğrenildiği, 
  • Bu çerçevede, veri sorumlusunun ilgili kişinin e-posta adresinin işlenmesinde Kanun’un 5’inci maddesindeki bir işleme şartına dayanmadığı, dolayısıyla Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendi ile Kanun’un 12’nci maddesinin (1) numaralı fıkrasında belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik tedbirlerin alınması yükümlülüklerini yerine getirmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında söz konusu işleme faaliyetinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı ve bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına, 
  • “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında” Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararının gereğini yerine getirmesi hususunda uyarılmasına,
  • Veri sorumlusunun savunmasında Avrupa Birliği Genel Veri Koruma Tüzüğünün muhtelif hükümlerine ve değerlendirmelere yer verilmiş olduğu görülmüş olup Kanun hükümlerine uyumun sağlanmasının öncelikli olduğu hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

10.03.2022: “Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması”
Karar Tarihi : 10/03/2022
Karar No : 2022/224
Konu Özeti : Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu, akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği,  görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • Çağrı Merkezi ile ilgili kişinin yapmış olduğu görüşmede kimlik verileri (adı, soyadı) iletişim verileri (telefon numarası) ve ses kaydı verisinin; Banka’nın internet sayfasında Bize Ulaşın bölümünü kullanarak ilettiği başvurusuna ilişkin kimlik verilerinin (adı, soyadı, TC kimlik numarası), iletişim verilerinin (telefon numarası ve e-posta adresi); Banka’nın şubesine ilettiği dilekçesinden ise söz konusu dilekçede yer alan bilgileri ile kimlik verilerinin (kimlik belge örneği) Banka tarafından işlendiği,
  • İşlenen kişisel verilerin müşteri ilişkileri yönetimi süreçlerinin yönetimi ile buna bağlı olarak talep ve şikâyetlerin takibi, ilgili iletişim faaliyetlerinin yürütülmesi, bu faaliyetlerin bağlı olunan mevzuatta öngörülen uygun içerik ve detayda yürütülmesinin sağlanması, kayıtlara ilişkin mevzuatta emredilen şekilde saklama ve arşiv faaliyetlerinin gerçekleştirilmesi ve genel olarak müşteri güvenliğinin sağlanması amaçları ile işlendiği, 
  • Banka’nın aydınlatma metninin internet sitesinde herkes tarafından erişime açık şekilde yer aldığı, internet sayfasında ‘Bize Ulaşın’ bölümünü kullanarak iletilen başvurularda "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğu ile, Çağrı Merkezi arandığında ilk olarak kayıp/çalıntı/şüpheli işlem bildirimi işlemleri ile birlikte Kişisel Verilerin Korunmasına ilişkin bilgi alınması hususundaki işlem menüsüne yönlendirildiği, ilgili kişiye çağrı merkezi kanalıyla KVKK aydınlatma metni sunulduğu, ancak müşterinin dinlememeyi tercih ettiği, ilgili kişinin "Çağrı Merkezi" kanalıyla ve Banka web sayfasında ‘Bize Ulaşın’ bölümünde oluşturduğu başvurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi gereğince verilerinin işlenmesi sürecine ilişkin olarak aydınlatma yükümlülüğünün yerine getirildiği,
  • İlgili kişinin, müşterilerinin bankomat kartını bulduğunu haber vermek amacıyla çağrı merkezleriyle yaptığı görüşmede müşteri temsilcisinin "kart sahibine kartı sizin bulduğunuzu ileteceğim şeklinde" yaptığı bilgilendirmeye "tamam" cevabını vermesi üzerine kart sahibi ile ilgiliye ait kişisel verilerin sözlü olarak paylaşıldığı,

ifade edilmiş, ayrıca yazı ekinde,  ilgili kişinin Çağrı Merkezi ile yaptığı görüşme kaydının yer aldığı CD sunulmuştur.  

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde, veri sorumlusunun veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasında; d) bendinde; “Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.”e) bendinde; “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün yer aldığı, 
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerden; ilgili kişi, veri sorumlusunun internet sitesinde bulunan ‘bize ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği, bu anlamda veri sorumlusu Banka tarafından aydınlatma yükümlülüğünün yerine getirildiğinin anlaşıldığı,
  • Kanun’da kişisel veri işleme şartlarından biri olarak düzenlenen “açık rıza”nın, Kanun’un 3 üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “belirli bir konuya ilişkin olması”, “rızanın bilgilendirmeye dayanması” ve “özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu,  bu kapsamda, veri işlemek üzere alınan açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, ayrıca kişinin neye rıza gösterdiğini de bilmesi gerektiği,
  • Bu çerçevede, veri sorumlusu tarafından iletilen çağrı merkezi görüşme kaydı dinlendiğinde; görüşmenin son kısmında çağrı merkezi personelinin “... Kartın güvenliğini sağlıyorum. Gerekli bilgileri not aldım, müşterinin kendisi ile iletişime geçeceğim kartı sizin bulduğunuzu ileteceğim.” şeklindeki ifadesinin üzerine ilgili kişinin “tamam” şeklinde yanıt verdiğinin tespit edildiği,
  • Somut olayda verilen açık rıza değerlendirildiğinde; çağrı merkezi personelinin öncesinde kartın güvenliğini sağladığına ilişkin açıklamalarda bulunduktan sonra “... kart sahibine kartı sizin bulduğunuzu ileteceğim ...” şeklindeki ifadesinden ilgili kişinin ad, soyadı ve telefon numarası bilgisinin kart sahibi üçüncü kişiyle paylaşılacağı çıkarımında bulunulmasının makul bir beklentiye uygun olmadığı, aynı ifadeden kart güvenliğinin sağlanması ile birlikte bir vatandaş tarafından kartın bulunduğu bilgisinin paylaşılacağının anlaşılmasının daha beklenebilir bir durum olduğu,
  • Buna ek olarak, görüşme kaydının tamamı göz önünde bulundurularak değerlendirme yapıldığında, ilgili kişiye kart sahibinin bilgilerinin verilerek kartın ilgili kişinin kendisi tarafından teslim edilmesine ilişkin öneriye karşılık, olumsuz cevap verilmesinden de ilgili kişinin kişisel verilerinin paylaşılması yönünde bir rızasının bulunmadığı çıkarımında bulunulmasının mümkün olabileceği,
  • Sonuç olarak, ilgili kişinin kişisel verilerinin üçüncü kişiye açıklanması şeklinde gerçekleşen kişisel veri işleme faaliyetinin açık rızanın unsurlarını barındırmadığı, dolayısıyla veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işleme faaliyetinde bulunulduğu kanaatine varıldığı,
  • Bu çerçevede veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi biri geçerli olmadan kişisel verilerin açıklanması suretiyle veri işleme faaliyetinde bulunulduğu anlaşıldığından Kanun’un 12’nci maddesinde yer alan “Kişisel verilere hukuka aykırı erişilmesini önlemek” ve “Kişisel verilerin muhafazasını sağlamak” yükümlülüğüne aykırı davranıldığı,

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğindeki ad, soyadı ve telefon numarası bilgilerinin Kanuna aykırı olarak üçüncü kişiyle paylaşılması nedeniyle veri ihlaline sebebiyet verildiği dikkate alındığında; Kanun’un 12’inci maddesi çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesi kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
  • İlgili kişinin kişisel verilerinin işlenmesi sürecinde aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

04.03.2022: “Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması”
Karar Tarihi : 04/03/2022
Karar No : 2022/184
Konu Özeti : Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği; ilgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; akabinde ilgili kişinin eşine ait hattın hukuk bürosu çalışanı olduğunu söyleyen bir şahıs tarafından arandığı, konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunduğu; sonrasında ilgili kişinin eşinin, kişisel verileri istedikleri gibi ifşa edemeyeceklerini, bunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca suç teşkil ettiğini, kendileri hakkında hukuki olarak gereken her türlü yasal yollara başvuracaklarını bildirdiği; ayrıca ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediğinin sorulduğu ayrıca, istenildiği takdirde UYAP veya MERNİS’ten iletişim bilgilerine ulaşılabileceğinin söylendiği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde ise dolaylı yollardan bulduk, biz buluruz şeklinde cevap verildiği belirtilmiş; ilgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında şikâyetçi olunduğu ifade edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu alacak yönetim şirketinden savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Bir telekomünikasyon şirketi ile arasında alacak devir sözleşmesinin akdedilmiş olması sebebiyle bahsi geçen şirket tarafından icra dosya bilgileri, müşterilere ait faturalar, müşteriler tarafından telekomünikasyon şirketine verilen iletişim bilgileri vb. bilgilerin taraflarına iletildiği,
  • İşlem yapılırken icra borçlularının telekomünikasyon firmasına ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon firmasının taraflarına ilettiği telefon numaralarının arandığı,
  • Akabinde şikâyet dilekçesinde belirtilen hatlardan şirketlerinin çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiği,
  • Taraflarınca hiçbir şekilde ilgili kişiye ait başka bir telefon numarası araştırması yapılmadığı gibi üçüncü kişilere de ulaşılmadığı ve üçüncü kişilere bilgi verilmediği, çağrı merkezini arayan kişilerin ilgili kişi olup olmadığı tespit edilemediğinden taraflarınca ilgili kişi sıfatıyla arandıkları telefon numaralarına işlem yapıldığı 

beyan ve iddialarına yer verilmiştir.

Şikâyet dilekçesinde belirtilen hatlardan çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği hususlarına ilişkin kanıtlayıcı nitelikte imza ve kaşeli belgelerin Kurum’a gönderilmesinin istenmesi üzerine; veri sorumlusunca telekomünikasyon şirketi ile aralarında imzalanan sözleşme ile alacak devri sözleşmesi örneklerine yer verilmekle birlikte ilgili kişinin telekomünikasyon şirketine ilişkin ödenmemiş faturası dolayısıyla borcu olduğunu ve icra takibi başlatıldığını gösterir kayıtlar ile veri sorumlusunun alacakların tahsili için kullandığı çağrı merkezi sistemi aracılığıyla borçlular ile icra takibi sürecinde iletişim kurulması sonrası ilgili görüşmeye ilişkin ayrıntıların kaydedildiği sistemin ekran görüntülerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.

hükmünü amir olduğu,

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kardeşi adına kayıtlı olan hatta ve eşine ait telefona ilgili kişinin telekomünikasyon şirketine olan borcunun süresinin dolacağına ilişkin bir SMS gönderildiği ifade edilerek rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığının beyan edildiğinin görüldüğü;
  • Veri sorumlusu tarafından Kurum’a gönderilen savunma ekindeki belgeler incelendiğinde ilgili kişinin şikâyet dilekçesinde belirttiği borcun süresinin dolacağına ilişkin SMS’in gönderildiği tarihten önceki bir tarihte ilgili kişinin kardeşi adına kayıtlı telefon numarasından veri sorumlusunun aranarak dosya numarasının öğrenildiği, yine aynı tarihte söz konusu borca itiraz edildiği ve itirazın onaylandığı bilgisinin paylaşıldığı iddiası ile ilgili kişinin kardeşi adına kayıtlı telefon numarasından tekrar veri sorumlusunun arandığına ilişkin imzalı ve kaşeli ekran görüntülerinin bulunduğu; bununla birlikte yine aynı tarihte ilgili kişinin eşine ait telefon numarasıyla görüşüldüğü, borç ve masraflarla ilgili bilgilendirme yapıldığının beyan edildiği;
  • Veri sorumlusu tarafından Kurum’a iletilen savunma yazısında taraflarınca işlem yapılırken icra borçlularının telekomünikasyon şirketinin ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon şirketinin taraflarına ilettiği telefon numaralarının arandığı, akabinde şikâyet dilekçesinde belirtilen ilgili kişinin eşi ve kardeşinin telefon numaralarından çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiğinin beyan edildiğinin görüldüğü; 
  • Bu kapsamda veri sorumlusu tarafından Kurum’a iletilen cevap yazılarından; veri sorumlusunun çağrı merkezini arayarak bir borç hakkında bilgi talep edilmesi halinde arayan kişiye herhangi bir bilgilendirme yapılmaksızın ve Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın arayan kişilerin telefon bilgilerinin sisteme otomatik olarak kaydedilmek suretiyle işlenmesi ve bu kişilerle başka şahısların kişisel verisi niteliğindeki borç bilgisine ilişkin bilgi paylaşımında bulunulduğu kanaatine varılması nedeniyle veri sorumlusunun Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

24.02.2022: “Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi”
Karar Tarihi : 24/02/2022
Karar No : 2022/172
Konu Özeti : Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi

 

İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde özetle;

  • İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,
  • İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı, 
  • Aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile çeliştiği,
  • Veri sorumlusunun özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nun (Kurul) aldığı 31/01/2018 tarihli ve 2018/10 sayılı Kararda belirtilen hususları yerine getirmediği, 
  • Veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği,
  • İlgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği

hususları belirtilmiş ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun Türkiye’deki irtibat bürosuna yazılan yazı ile savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikâyet edilenin, yurt dışı menşeli veri sorumlusunun Türkiye’deki irtibat bürosu olduğu, yasal kuruluş esasları gereği münferit bir tüzel kişiliği ve ticari faaliyeti haiz olmadığı, 
  • İlgili kişinin veri sorumlusu bünyesinde çalışmasının doğrudan yurt dışı merkezli yasal mevzuat hükümlerine göre belirlendiği ve buna göre iş yeri sicil dosyasının yurt dışında cari olan mevzuat hükümlerine göre oluşturulduğu, 
  • İlgili kişinin şikâyetine konu olan kişisel verilerin, ilgili kişinin yurt dışında mukim veri sorumlusunun çalışanı olması nedeniyle, iş yeri özlük dosyası kapsamında rızası ile ilgili kişiden temin edildiği, bu anlamda icazet olmaksızın söz konusu kişisel verilerin yurt dışına aktarılması gibi bir durumdan bahsedilemeyeceği, 
  • Şikâyete konu kişisel verilerin, iş akdi gereği, çalışma süresi boyunca şikâyet edilen irtibat bürosu uhdesinde “özlük dosyası” mahiyetinde, ilgili yasal mevzuat ile kanunlarda belirlenen meşru amaca uygun olarak muhafaza edildiği, iş akdinin sonlandırılmasını müteakip ilgili kişi tarafından açılan İş Mahkemesi nezdindeki dava dosyasının bir örneğinin sunulduğu, sonrasında yasal bir zorunluluk bulunmamasına karşın söz konusu kişisel verilerin irtibat bürosu ve yurt dışı birimleri kayıtlarında imha edildiği

belirtilmiştir

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/02/2022 tarih ve 2022/172 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Öte yandan, 4857 sayılı İş Kanunu’nun (“4857 sayılı Kanun”) “Tanımlar” başlıklı 2’nci maddesinin “Bir iş sözleşmesine dayanarak çalışan gerçek kişiye işçi, işçi çalıştıran gerçek veya tüzel kişiye yahut tüzel kişiliği olmayan kurum ve kuruluşlara işveren, işçi ile işveren arasında kurulan ilişkiye iş ilişkisi denir. İşveren tarafından mal veya hizmet üretmek amacıyla maddî olan ve olmayan unsurlar ile işçinin birlikte örgütlendiği birime işyeri denir… İşveren adına hareket eden ve işin, işyerinin ve işletmenin yönetiminde görev alan kimselere işveren vekili denir. İşveren vekilinin bu sıfatla işçilere karşı işlem ve yükümlülüklerinden doğrudan işveren sorumludur” hükümlerini ihtiva ettiği,
  • 4875 sayılı Kanun‘un “Tanımlar” başlıklı 2’nci maddesinde ise “Yabancı yatırımcı: Türkiye'de doğrudan yabancı yatırım yapan, 1) Yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, 2) Yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade eder” hükmünün bulunduğu,
  • Bununla birlikte, Doğrudan Yabancı Yatırımlar Kanunu Uygulama Yönetmeliği’nin “İrtibat bürosu kuruluşu” başlığını haiz 6’ncı maddesinin “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir…” hükmünü amir olduğu,
  • Somut hadisede şikâyet olunan tarafın, yurt dışında yerleşik bir tüzel kişi olan veri sorumlusunun irtibat bürosu olduğunun görüldüğü, veri sorumlusunun internet sitesinden edinilen bilgilere göre veri sorumlusunun başka bir ülke merkezli bir yazılım şirketi tarafından satın alındığı, şu halde veri sorumlusunun Türkiye İrtibat Bürosu’nun; Türkiye’de ticarî faaliyet yürütmeyen, tüzel kişiliği bulunmayan, yalnızca “Haberleşme ve Bilgi Aktarımı” faaliyetinde bulunan bir irtibat bürosu olduğu ve yabancı sermaye mevzuatına tabi bulunduğu,
  • Öte yandan irtibat bürolarının, 4857 sayılı Kanun’a göre “iş yeri” statüsüne dâhil olduğu, 4875 sayılı Kanun’a göre ise “yabancı yatırımcı”nın yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade ettiği, 
  • 4875 sayılı Kanun’da gösterilen yatırımcıların iş hukuku anlamında işveren sıfatını kazanacağının anlaşıldığı, bu surette irtibat bürosu çalışanlarını ve dolayısıyla da ilgili kişiyi istihdam eden işverenin; veri sorumlusunun irtibat bürosu değil, veri sorumlusunun kendisi olacağı,
  • Bu sebeplerle, somut hadisede “veri sorumlusu” sıfatının yurt dışında yerleşik veri sorumlusunun Türkiye İrtibat Bürosu’na değil, yurt dışında mukim ve tüzel kişiliği haiz olan veri sorumlusunun kendisine atfedilebileceği kanaatine varıldığı,
  • İlgili kişinin gönderdiği tebligatta “yetkili” sıfatı ile veri sorumlusunun şirket müdürüne yer verildiği, şirket müdürünün ise yurt dışında mukim olunan yer yetkili noteri tarafından onaylanan ve düzenlenen vekâletname ile veri sorumlusu adına yetkilendirildiğinin görüldüğü, şu halde ilgili kişinin veri sorumlusuna İrtibat Bürosu yetkilisi ve işveren vekili vasıtasıyla yaptığı tebligatın hukuken muteber ve geçerli olduğu, veri sorumlusunun da buna yanıt vermesi gerektiği, ancak veri sorumlusunun, ilgili kişinin başvurusuna yasal süre içerisinde herhangi bir yanıt vermediği, bu suretle veri sorumlusunun Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de (“Tebliğ”) yer verilen ilgili kişilerin başvurularına yanıt verilmesine ilişkin hükümlere aykırı hareket ettiğinin tespit edildiği,
  • İşveren sıfatının yurt dışı merkezli veri sorumlusunun üzerinde olduğu dikkate alındığında, çalışanlar ile akdedilen iş ilişkisi sözleşmelerinin irtibat bürosuyla değil, veri sorumlusunun kendisiyle akdedilmesinin icap edeceği, hâl böyle olunca bu iş ilişkisi kapsamında akdedilen sözleşme gereği, ilgili kişiye ait kişisel verilerin irtibat bürosu tarafından yurt dışında mukim veri sorumlusuna aktarılmasında herhangi bir hukuka aykırılığın bulunmayacağı,  zira sözleşmenin tarafının doğrudan yurt dışı merkezli veri sorumlusu olmasından dolayı “veri sorumlusu” sıfatının zaten yurt dışı merkezli şirkete  ait olduğu, 
  • İlgili kişinin yurt dışı menşeli veri sorumlusu bünyesinde çalışmak üzere iş akdi yaparken, veri sorumlusunun tabi olduğu yabancı mevzuat gereği kendisinden temin edilen bilgi ve belge mahiyetindeki kişisel verilerinin yurt dışında işleneceğini düşünmemesinin mümkün olmadığı, bir akdin gereğinin yerine getirilmesi için ilgili kişiden açık rıza temin etmekten başka hiçbir yasal yol olmaması durumunda bu akit kurulurken taraflardan açık rıza istenmesinin açık rızanın yasal unsurlarını sakatlamayacağı, zira ilgili kişinin bu akit kurulurken kişisel verilerinin akıbetine dair farkındalık sahibi olduğu,
  • Veri sorumlusu tarafından ilgili kişinin kişisel verilerinin tabi olunan yabancı ülke hukuku gereği, özlük dosyası oluşturmak amacıyla işlendiği iddia edilse de bu konudaki açıklamaları destekleyici bir bilgi ya da belgenin sunulmadığı, ayrıca veri sorumlusunun bu belgeleri hangi yasanın hangi hükmü uyarınca temin ettiğini Kurula açıklamadığı,
  • Öte yandan, veri sorumlusu tarafından şirket merkezi ve irtibat bürosu nezdinde ilgili kişiye ait tüm kişisel verilerin imha edildiği iddia edilmekle birlikte bunu destekleyen bir belgenin de Kuruma sunulmadığı,  hâlbuki Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “İlkeler”i düzenleyen 7’nci maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.” hükmü uyarınca veri sorumlularının, yaptıkları silme işlemlerini evraka bağlamak ve söz konusu vesaiki talep edildiği takdirde resmî makamlara sunmak zorunda oldukları, 
  • Veri sorumlusuna gönderilen bilgi ve belge talebi konulu yazıda, ilgili kişinin şikâyet dilekçesinde yer alan bütün iddialara yönelik yanıtlar ile bu yanıtları destekleyen kayıt ve belgelerin istendiği fakat veri sorumlusunun bu belgeleri Kurula sunamadığı

değerlendirmelerinden hareketle;

  • Somut olayda “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu,
  • İrtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle, ilgili kişi tarafından irtibat bürosuna yapılan tebligatın hukuken muteber ve geçerli olduğu,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruya Kanun ve Tebliğ hükümleri ihlal olunarak yasal süre dâhilinde herhangi bir yanıt verilmediği,
  • Şikâyet konusunu teşkil eden somut olayda yurt dışına veri aktarılmasının hukuka aykırı olmadığı, ilgili kişiye ait kişisel verilerin yurt dışında mukim veri sorumlusu tarafından iş ilişkisi kapsamında akdedilen sözleşme vasıtasıyla, yerleşik ülke hukuku doğrultusunda elde edildiği fakat bu mevzuat hükümlerine ilişkin olarak ilgili kişiye ve Kurula yeterli açıklamalarda bulunulmadığı,
  • Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,
  • İlgili kişinin kişisel verilerinin gerek şirket merkezi gerekse de irtibat bürosu nezdinde imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmediği

anlaşıldığından, veri sorumlusunun;

  • İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
  • İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi 

hususlarında talimatlandırılmasına karar verilmiştir. 

10.02.2022: “Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması”
Karar Tarihi : 10/02/2022
Karar No : 2022/103
Konu Özeti : Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması

 

Kurum’a intikal eden şikâyet dilekçesinde özetle; bir tekstil firması (veri sorumlusu) ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) hakkında icra takibi başlatıldığı, bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı, paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği, bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği, veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığı, bu hususta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişinin adının geçtiği Şirketin, şikâyete konu sosyal medya paylaşımlarına ilişkin Cumhuriyet Savcılığına intikal eden şikâyette taraf olduğu, şikâyete konu tarafın şahıs olmaması tüzel kişi olması dolayısıyla ve suçun yasal unsurlarının oluşmadığı gerekçesiyle hakaret suçundan kovuşturma yapılmasına yer olmadığına karar verildiği,
  • Savcılığa intikal eden şikâyete konu paylaşımları yapan şahsın o tarihlerde ilgili kişinin adının geçtiği şirketin yarı zamanlı çalışanı olduğu sonradan firmadan ayrıldığı, akabinde veri sorumlusu nezdinde çalışmaya başladığı,
  • Şikâyetçi tarafın veri sorumlusu firmadan yüksek miktarda mal aldığı, bu süreçte Şirketin paylaşımları yapan şahsın müşterisi olduğu, ilgili ürünleri pazarlayan, sunan ve siparişi alanın da bu kişi olduğu, diğer bir ifade ile Şirketin bu şahsın portföyünde bulunduğu,
  • Şirketin söz konusu mal alımına ilişkin ödeme yapmadığı, e-postalara ve telefonlara yanıt vermediği, Şirketle hiçbir şekilde irtibat sağlanamadığı, bunun üzerine Şirket hakkında icra takibi başlatıldığı,
  • Veri sorumlusu adına açılmış sosyal medya hesaplarının bulunmadığı ve veri sorumlusunun unvanı altında paylaşım yapılmadığı,
  • Bahsi geçen şahıs bu pazarlamadan çok zarar gördüğü için diğer firmaların da bu Şirketten zarar görmemesi adına üyesi olduğu bir Facebook grubunda ilgili kişinin adının geçtiği Şirket ile yaşanan durumu kısaca izah ettiği, ispat olarak dava dosyasının ön kapak görselini okunmayacak şekilde paylaştığı, ancak bu paylaşımın yayımlanmadan silindiği ve üçüncü şahısların söz konusu paylaşımı görmediği, olay sonrasında bahsi geçen şahsın gruptan çıkarılarak engellendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 10/02/2022 tarih ve 2022/103 sayılı kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • 95/46/AT sayılı Veri Koruma Direktifine dayalı olarak hazırlanan ve “kişisel veri kavramı”nın ele alındığı Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı görüşünde; tüzel kişiler hakkında bilginin gerçek kişilerle “ilişkili olması” durumunun somut olay özelinde göz önünde bulundurulması gerektiği, tüzel kişilerin unvanının gerçek kişi isimlerinden türetildiği durumda kişisel veri olup olmadığının belirli kriterlere (içerik, amaç ve sonuç kriterlerine) göre değerlendirilmesi gerektiğinin belirtildiği, Madde 29 Veri Koruma Çalışma Grubu’nun söz konusu görüşü ile örneğin, bir şirket e-postasının belirli bir çalışan tarafından kullanılmasında veya küçük bir işletmenin sahibinin davranışlarını ifade eden bilgide bu durumun söz konusu olabileceği, “içerik”, “amaç” veya “sonuç” kriterlerine göre değerlendirildiğinde, işletme veya tüzel kişi hakkında bilginin gerçek kişiyle ilişkili olması mümkünse kişisel veri olarak düşünülebileceğinin ifade edildiği, söz konusu kriterlerin kümülatif olarak bulunmasının gerekli olmadığı, kriterlerin birbirinin alternatifi olarak düşünülebileceği, söz konusu görüşe göre; aynı bilginin aynı zamanda farklı unsurlar bakımından farklı kişilerle ilişkilendirileceğinin de değerlendirildiği, örneğin bir bilgi A kişisi hakkında ise içerik kriteri bakımından A kişisiyle, B kişisine belirli bir şekilde davranılması amacıyla kullanılması durumunda amaç kriteri bakımından B kişisiyle, C kişisinin hak ve menfaatlerinde bir etkiye sahipse veya herhangi bir etkiye sahip olması muhtemelse “sonuç” kriteri bakımından C kişisiyle ilişkili olduğunun söylenebileceği,
  • İlgili şirketin, yetkilisinin ismini ve soy ismini taşıdığı, somut olay özelinde şirket unvanının, Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel veri olup olmadığının göz önünde bulundurulması gerektiği, icra takibi evrakında bulunan tacirin unvanında ilgili kişinin isim ve soy ismi bulunsa da yapılan paylaşım ve yorumlarda tüzel kişiliğin hedeflendiği göz önünde bulundurulduğunda şirketin unvanının veya borç bilgisi, adresi, vergi kimlik numarası bilgisinin gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığı ya da gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmadığı kanaatiyle Kanun’da yer alan kişisel veri tanımını karşılamadığı,
  • Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı,
  • Somut olay özelinde, veri sorumlusunun çalışanı tarafından icra takip talebi evrakının fotoğraflanması suretiyle elde edilerek sosyal medya platformu aracılığıyla paylaşılması ile Şirket’e ait bazı bilgileri içeren yorumların sosyal medya platformunda paylaşılmasında, kişisel veri işlenmemesi sebebiyle konunun Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca Kanun kapsamında olmadığı

değerlendirmelerinden hareketle;

  • Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de, sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına

karar verilmiştir.

18.01.2022: “Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi”
Karar Tarihi : 18/01/2022
Karar No : 2022/31
Konu Özeti : Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) 6’ncı maddesinin (1) numaralı fıkrasındaki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği,
  • Öte yandan kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun)  5’inci maddesinin (1) numaralı fıkrası gereği ilgili kişinin açık rızasının alınmasının veya aynı maddenin (2) numaralı fıkrasında sayılan açık rızanın aranmadığı özel şartlardan birinin sağlanmasının gerektiği, ancak somut hadisede ne kendisinin açık rızasının alındığı ne de 6698 sayılı Kanun’da gösterilen özel şartların sağlandığı,
  • 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunun belirtildiği ancak kişisel verilerinin e-posta adresine ileti gönderilmek suretiyle işlenmesinden ötürü bu hükmün ihlal edildiğinin ortada olduğu,
  • Veri sorumlusu tarafından ilgili kişiye verilen cevapta 6563 sayılı ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında herhangi bir bilgiye yer verilmediğinden, kampanya ve reklamcılık faaliyetleri çerçevesinde ticari elektronik ileti gönderimine ilişkin yapılan savunmanın yerinde olmadığı

hususları ifade edilmiş ve 6698 sayılı Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine başvuru yapması sonucunda elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kayıt edildiği,
  • Bu veri işleme faaliyetinin, 6698 sayılı Kanun’un 5’inci maddesi uyarınca, ilgili kişi ile hastane arasında akdedilen sözleşme sebebiyle “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına ve 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için (veri işlemenin) zorunlu olması” şartına dayalı olarak gerçekleştirildiği,
  • İlgili kişinin e-posta adresinin HBYS ve hastaneler arası iletişim ortamı olan MEDULA yazılımı aracılığı ile Sosyal Güvenlik Kurumu (SGK) sistemlerine aktarıldığı,
  • İlgili kişinin başvurusuna verilen yanıtta belirtildiği üzere, söz konusu e-posta gönderiminin birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığı ve sehven ilgili kişinin onayı dışında gerçekleştiği,
  • Mevcut durumun bir daha tekrar etmemesi adına, ilgili kişinin e-posta adresinin, kendisinin talebi üzerine, ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığı ve ilgili kişiye bir daha e-posta gönderilmeyeceğinin taahhüt edildiği,
  • İlgili personele uyarı yazısının verilmiş olmasının yanı sıra birtakım başka ek tedbirlerin de alındığı, örneğin artık hasta kaydı sırasında kişilerin HBYS kaydının tamamlanabilmesi ve aydınlatma yapılabilmesi adına, hasta kayıt işlemi yaptıran ilgili kişi alıcılara SMS gönderilmesi uygulamasına başlandığı, bahse konu SMS içeriğinde 6698 sayılı Kanun ile 6563 sayılı ETK kapsamında onay vermek isteyen ilgili kişiler için ayrı ayrı, iki adet tek kullanımlık onay kodunun yer almakta olduğu, bu kodların personele iletilmesi durumunda 6698 sayılı Kanun ve 6563 sayılı ETK kapsamında açık rıza ve onay alındığına dair HBYS üzerinde kayıt oluşturulduğu,
  • Bununla birlikte, ilgili kişilerin hastaneye vermiş oldukları e-posta adresini doğrulamak üzere yeni bir sistemin ilerleyen süreçte kullanıma alınacağı, buna göre ilgili kişilerin vermiş oldukları e-posta adresini doğrulamak üzere kendilerine doğrulama linki içeren bir e-posta gönderileceği, bu linke tıklanmaması halinde ilgili kişinin e-posta adresinin HBYS kayıtlarına alınmayacağı,
  • Tüm bunların dışında; veri sorumlusunun hastanelerini ziyaret eden hastalara ait kişisel verilerin işlenmesini detaylıca ele alan aydınlatma metninin daha kapsamlı hale getirilerek veri sorumlusunun internet sitesinde yayınlandığı, ilgili kişilerle reklam amaçlı iletişime geçilmesine olanak tanıyan Misafir İletişim Açık Rıza Beyanı belgesinin düzenlenerek ilgili kişilere sunulduğu, personel eğitimlerine devam edildiği ve eğitim içeriklerinin Kurulun güncel kararları doğrultusunda periyodik olarak güncellendiği, veri sorumlusuna bağlı hastaneler ve genel merkezde faaliyet gösteren Kişisel Verilerin Korunması ve Bilgi Güvenliği Kurulunun teşkil edildiği, bu Kurula seçilenler için özel bir Görevlendirme ve Taahhütname belgesi hazırlandığı,
  • Kişisel Verileri İşleme ve İmha Politikası başta olmak üzere tüm politikaların yeni ihtiyaçlar doğrultusunda güncellendiği

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/01/2022 tarih ve 2022/31 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza  edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • İlgili kişinin şikâyeti hakkında veri sorumlusu tarafından “İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine yapılan başvuru sırasında, hasta kaydı açılırken elde edildiği” bilgisinin verildiği,
  • Bu durumun ise 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ile (ç) bendinde yer alan “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne istinaden gerçekleştirildiğinin ifade edildiği,
  • Hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, 6698 sayılı Kanun ile birlikte diğer sair mevzuata da bir aykırılık teşkil etmediği, ancak somut hadisede ilgili kişinin iletişim bilgisinin, herhangi bir tıbbî bilginin kendisine veya yakınına iletilmesi için değil bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığı, ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticarî amaçlı olduğunun görüldüğü,
  • 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin işlendikleri amaçla sınırlı, bağlantılı ve ölçülü şekilde işlenebileceğinin açıkça belirtildiği, veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesi hukuka uygun olsa da bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız bir şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğinin görüldüğü

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına 

karar verilmiştir.
 

06.01.2022: “İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması”
Karar Tarihi : 06/01/2022
Karar No : 2022/6
Konu Özeti : İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı “…” internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu, şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği, bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu, Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceğinin belirtildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Ticaret Odası’ndan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Türk Ticaret Kanunu hükümleri gereğince tescile tabi olan kayıt, değişiklik ve kayıt silme işlemlerinin Ticaret Sicili Müdürlükleri tarafından MERSİS (Merkezi Sicil Kayıt Sistemi) üzerinden yapıldığı, tescile ait ilan metinlerinin ise MERSİS'te üretilerek Türkiye Ticaret Sicili Gazetesinde yayınlandığı, 
  • Limited şirketlerin kuruluş işleminde ana sözleşmenin ve tüm ortakların tescilinin Türk Ticaret Kanunu’nun 587’nci maddesinde, payların geçiş hallerinin tescilinin ise 598’inci maddesinde düzenlendiği, bu çerçevede; tescile tabi ve üçüncü kişilerin incelemesine açık olan Türkiye Ticaret Sicili Gazetesinde yayınlanan limited şirketlerin pay devrine ilişkin tescillerine ait ilanlarda payı devir alan ortak ile payını devreden ortağa ait ad-soyad bilgisinin yer aldığı, kimlik numarası ve adres bilgisi gibi kişisel verilerin gizlenerek ilan edildiği, 
  • Şirketin ortaklık yapısının mevzuat gereği tescil edilip ilan edilmesi nedeni ile kişinin ortak olarak ya da eski ortak olarak görünmesinin aleni bir bilgi olduğu, kimlik numarası ve adresi gibi kişisel veri niteliği taşımadığı,
  • Bu bağlamda, veri sorumlusunun internet sayfasındaki firma bilgileri içerisinde; Türk Ticaret Kanunu’nun 35 inci maddesi ile Ticaret Sicili Yönetmeliği’nin 15’inci maddesine göre mevzuatın izin verdiği ve Ticaret Sicili Gazetesinde yayınlanarak üçüncü kişilerin incelemesine açık olan bilgilerin yer aldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 06/01/2022 tarih ve 2022/6 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanun’un, “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7’inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu, (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği,
  • İlgili kişinin ad ve soyadının silinmesi talebinin bulunduğu internet sayfası incelendiğinde Ticaret Odası’nın Bilgi Bankasından Şirket bilgilerine göre bir sorgulama yapılabildiğinin görüldüğü, ilgili kişinin eski ortağı olduğu Şirket hakkında ilgili sayfada sorgulama yapıldığında Şirketin sicil numarası, oda sicil numarası, MERSİS numarası, firma unvanı, iş adresi, odaya kayıt tarihi, sermayesi, iş konusu gibi bilgilerin yanı sıra Tescil ve Gazete Bilgileri başlığı altında sicil gazetesine tescil edilen işlemlere ilişkin bilgi, ayrıca ortaklar ve eski ortakların adı, soyadı, görevi ve sermaye miktarına ilişkin bilgilere yer verildiğinin görüldüğü,
  • İlgili kişinin şikâyetinde de ifade edildiği gibi söz konusu Şirketin eski ortağı olarak sorgulama sayfasında ilgili kişinin adı, soyadı ve sermaye miktarının yer aldığının görüldüğü,
    • Öte yandan, Ticaret Sicili’nin tutulması hususuna ilişkin ilgili mevzuat incelendiğinde; 6102 sayılı Türk Ticaret Kanunu’nun “Ticaret Sicili-Kuruluş” başlıklı 24 üncü maddesinin “Gümrük ve Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi müdürlüklere bağlı şubeler de kurabilir.  Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur. Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir. Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı, Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulur. Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle düzenlenir. Ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunur.” hükmünü haiz olduğu, 
    • Türk Ticaret Kanunu’nun “Açıklık” başlıklı 35’inci maddesinin “Tescil işleminin dayanakları olan dilekçe, beyanname, senetler, belgeler ve ilanları içeren gazeteler, üzerlerine sicil defterinin tarih ve numaraları yazılarak sicil müdürlüğünce saklanır. Herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği gibi giderini ödeyerek bunların onaylı suretlerini de alabilir. Bir hususun sicilde kayıtlı olup olmadığına dair onaylı belge de istenebilir. Tescil edilen hususlar, kanun veya Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur. İlan, Türkiye genelinde sicil kayıtlarının ilanına özgü Türkiye Ticaret Sicili Gazetesi ile yapılır.” hükmünü haiz olduğu,
    • Türk Ticaret Kanunu’nun “Tescil ve İlan” başlıklı 587’nci maddesinde “Şirket sözleşmesinin tamamı, kurucuların imzalarının ticaret sicili müdürlüğünde yetkilendirilmiş personelin huzurunda imzalandığı tarihi izleyen otuz gün içinde, şirketin merkezinin bulunduğu yer ticaret siciline tescil ve Türkiye Ticaret Sicili Gazetesinde ilan olunur. Tescil ve ilan edilen şirket sözleşmesine, aşağıda sayılanlar dışında, 36’ncı maddenin birinci fıkrası hükmü uygulanmaz: Şirket sözleşmesinin tarihi, Şirketin ticaret unvanı ve merkezi, esas noktaları belirtilmiş ve tanımlanmış şekilde şirketin işletme konusu; şirket sözleşmesinde bu konuda bir hüküm varsa, şirketin süresi, esas sermayenin itibarî değeri, gerçek kişi ortağın adı ve soyadı, yerleşim yeri, tüzel kişi ortakların unvanı, merkezleri ve her ortağın üstlendiği esas sermaye payları, ayni sermayenin konusu ve bu tür sermayenin karşılığında verilecek esas sermaye payları; ...” şeklinde hüküm bulunduğu, aynı Kanun’un Tescil başlıklı 598’inci maddesinde ise “Esas sermaye paylarının geçişlerinin tescil edilmesi için, şirket müdürleri tarafından ticaret siciline başvurulur. Başvurunun otuz gün içinde yapılmaması hâlinde, ayrılan ortak, adının bu paylarla ilgili olarak silinmesi için ticaret siciline başvurabilir. Bunun üzerine sicil müdürü, şirkete, iktisap edenin adının bildirilmesi için süre verir. Sicil kaydına güvenen iyiniyetli kişinin güveni korunur.” hükmünün yer aldığı,
    • Türk Ticaret Kanunu’nun 26’ncı maddesine dayanılarak hazırlanan Ticaret Sicili Yönetmeliği’nin “Sicil kayıtlarına erişim hakkı” başlıklı 15’inci maddesi “Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir… Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir. Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.” şeklinde düzenlendiği,
    • Aynı Yönetmelik’in “Sicil İşlemlerinin Tabi Olduğu Hükümler” başlıklı 28’inci maddesi “(1) Sicile ait tescil, değişiklik ve silinmeler ile diğer iş ve işlemler Kanun ve bu Yönetmelik hükümlerine göre yapılır.(2) Tescil, bir olgunun sicile geçirilmesini; değişiklik, tescil edilmiş bir olgudaki değişiklik dolayısıyla sicildeki kayıtların değiştirilmesini veya düzeltilmesini; silinme ise tescil edilmiş olan bir olgunun ortadan kalkması veya sona ermesi sebebiyle ona ait kayıtların silinmesini ifade eder.” hükmüne, “Tescil edilmiş olgularda değişiklikler” başlıklı 29’uncu maddesinin “Tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceğini, “Tescil ve ilanın üçüncü kişilere etkisi” başlıklı 30’uncu maddesinin ise bir olgunun tescil ile beraber derhal üçüncü kişiler hakkında sonuç doğuracağını belirten hükümlere sahip olduğu,
    • Türkiye Cumhuriyeti Anayasası’nın “Kamu Kurumu Niteliğindeki Meslek Kuruluşları” başlıklı 135’inci maddesinde “Kamu kurumu niteliğindeki meslek kuruluşları ve üst kuruluşları; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, meslek mensuplarının birbirleri ile ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hakim kılmak üzere meslek disiplini ve ahlakını korumak maksadı ile kanunla kurulan ve organları kendi üyeleri tarafından kanunda gösterilen usullere göre yargı gözetimi altında, gizli oyla seçilen kamu tüzel kişilikleridir.” hükmünün yer aldığı, 
    • 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odalar” başlıklı 4’üncü maddesinde odaların üyelerinin müşterek ihtiyaçlarını karşılamak, meslekî faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, mensuplarının birbirleri ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hâkim kılmak üzere meslekî disiplin, ahlâk ve dayanışmayı korumak ve bu Kanunda yazılı hizmetler ile mevzuatla odalara verilen görevleri yerine getirmek amacıyla kurulan, tüzel kişiliğe sahip kamu kurumu niteliğinde meslek kuruluşları olduğunun belirtildiği,
    • Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odaların Görevleri” başlıklı 12 nci maddesinin “Odaların görevleri şunlardır:…  Ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek.” şeklinde düzenlendiği,
    • Bu çerçevede ticaret sicilinin, Ticaret Bakanlığının gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulacağı düzenlenmiş olup Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulacağı hükmünden de anlaşılacağı üzere ticaret sicili müdürlüklerinin il merkezindeki ticaret odasına bağlı olarak faaliyet gösterdiği, 
    • Öte yandan, kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanının, Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulduğu,
    • Türk Ticaret Kanunu’nun ve Ticaret Sicili Yönetmeliği’nin ilgili maddeleri çerçevesinde, herkesin sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği ve bu incelemenin elektronik ortamda ve/veya müdürlükte yapılabileceği ile tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceği 
  • anlaşılmakta olup Şirketin pay devrine ilişkin değişikliğin ticaret sicili gazetesinde tescil edildiği, söz konusu ticaret sicilinin tutulmasından sorumlu ticaret sicil müdürlüklerinin de ticaret odalarına bağlı olarak faaliyet gösterdiği dikkate alındığında söz konusu bilgilerin ticaret odası bünyesinde hâlihazırda mevcut olduğu sonucuna varıldığı,
    • Ayrıca, ticaret sicil gazetesinde yer alan bir bilginin ticaret odasının sayfasında bulunmasındaki amacın yine ticaret sicil işlemlerine ilişkin bilginin daha kolay ulaşılabilir olmasını sağlamak adına gerçekleştirildiği, bununla birlikte söz konusu bilgiye yalnızca ilgilileri tarafından ticaret odasının sayfasındaki bilgi bankası platformundan firma bilgileri girilmek suretiyle erişildiği, söz konusu bilginin ticaret sicil gazetesinde yayınlanma amacından farklı bir amaçla yayınlandığına ilişkin herhangi bir emare bulunmadığı dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4 üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, diğer yandan söz konusu bilginin ilgili kişi tarafından da belirtildiği üzere doğru olduğu ve yayınlanmasında amaca aykırılık bulunmadığı,
    • Diğer taraftan, Anayasa’da ve Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda yer aldığı üzere Kamu Kurumu niteliğindeki meslek kuruluşları ve üst kuruluşlarının; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak amacıyla kurulan kamu tüzel kişilikleri olduğu, 
    • Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere; ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek şeklinde odalara görev ve sorumlulukların yüklendiği 
  • dikkate alındığında ilgili Ticaret Odası tarafından “…”internet sayfasında Bilgi Bankası bölümünden firma bilgileri girilmek suretiyle sorgulama yapılmasına ve ticaret sicili gazetesindeki bilgilerin bu platformda yer alması suretiyle bilgiye ulaşımın kolaylaştırılmasına imkân sağlanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda ticaret odaları için öngörülen yükümlülükler kapsamında değerlendirilebileceği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinde yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmüne istinaden söz konusu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı sonucuna varılmış olup ilgili kişinin bu yöndeki talebi ile ilgili olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.
     
23.12.2021: “Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması”
Karar Tarihi : 23/12/2021
Karar No : 2021/1303
Konu Özeti : Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması

 

Kuruma intikal eden ihbarda özetle;

  • İhbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu, 
  • Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
  • Bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı bir takım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı

ifade edilerek, yukarıda belirtilen hususların6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir.

Söz konusu ihbara ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiş olup Kurum tarafından dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen tespit edilebilen araç kiralama yazılımı üreticisi şirketleri muhatap bilgi, belge ve savunma talepli yazılar ile yukarıdaki iddialar çerçevesinde kişisel veri işleme faaliyetlerinin detayı ve iddia edildiği üzere bir kara liste uygulamasının mevcut olup olmadığı yönünde bilgi talep edilmiştir. Bu çerçevede araç kiralama yazılımı üreticisi şirketler tarafından Kuruma gönderilen yazılarda genel olarak Şirketlerin yazdığı yazılım programlarının araç kiralama firmalarının operasyonlarını yönetebilmesi için hazırlandığı, bu yazılım programlarında araç kiralama sözleşmesi için zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kimlik ve ehliyet gibi bir takım kişisel verilerin kaydedildiği, araç kiralama firmalarına sundukları işletme faaliyetlerinin; sözleşme kurulduktan sonra bu şirketlere kullanıcı adı ve şifre verilmesi, kullanıma başlanılmasını takiben araç kayıtlarının tutulması, kira sözleşmelerinin, rezervasyonların ve bunlarla ilişkili muhasebe işlemlerinin kaydının tutulması olduğu bilgilerine yer verilmiştir. 

Ek olarak bazı yazılım şirketleri tarafından;

  • Kişisel verilerin işlenmesinin amacının; üye araç kiralama firmalarının kendi müşterilerine kolay ulaşmak, onları kampanyalardan haberdar edebilmek, araç teslimi noktasında bilgilendirme amaçlı SMS gönderebilmek ve sorunlu olan müşteriler (aracı geç teslim eden, kendi kusurlarıyla kaza yapan, kiralama bedelini ödemeyen vb.) program üyesi başka araç kiralama firmalarından araç kiralamak istediğinde müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek olduğu; hukuki açıdan ise kişisel verilerin işlenmesindeki amaçlardan birinin aydınlatma metninde belirtilen müşteri memnuniyeti, firma zarar riski araç güvenirliliği sağlamak için müşteri hakkındaki iyi/kötü yorumların diğer program ortaklarıyla paylaşılabilmesi olduğu,
  • Bu anlamda programların amacının araç kiralama firmalarını tek çatı altında toplamak, kendi aralarında bilgi akışını sağlamak, sisteme kaydettikleri araçların takibini, trafik ceza durumlarını vb. birçok hususu anlık görebildikleri dijital ortam yaratmak olduğu,
  • Yazılım programlarının araç kiralama firmaları tarafından satın alınması ile kişisel veri sisteme işlendiğinden kişisel verilerin araç kiralama firmalarının müşterilerinin kendisi tarafından alenileştirildiği,
  • İmzalanan sözleşmelerde “… araç kiralama sözleşmesi vasıtasıyla ilettiğim ve sair yöntemlerle vermiş olduğum kişisel bilgilerimin tek başına ve/veya başka kişisel verilerle birleştirilerek ticari olarak kullanılmak üzere toplanmasına, işlenmesine, bunu hakkımdaki iyi/köyü yorumlarla birlikte diğer program ortakları ile paylaşılmasına ve aksini yazılı olarak belirtmediğim sürece bu firmaların benimle SMS, internet, mektup, telefon vb. kanallardan temasa geçmelerine aşağıya attığım imza ile açıkça rıza ve muvafakat ederim.” uyarısı ve müşteri rızası ile araç kiralama firmasının müşterisinin kişisel bilgilerinin üye araç kiralama firması tarafından program veri tabanına kaydedildiği,
  • Müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından şirketlerinin sorumlu olmadığı,
  • Program üyeleri ile yapılan üyelik sözleşmesinde veri sorumlularının sisteme ekledikleri veriler için muhakkak kişilerin açık rızasının alınması gerektiğinin düzenlendiği; yazılım şirketleri veri sorumlusu olmadığı için hangi verinin hukuka aykırı olarak eklendiğinin tespitinin mümkün olmadığı

açıklamalarına yer verilirken; diğer yazılım şirketleri tarafından ise

  • Verilen kullanıcı adı ve şifrelerin her bir müşteri araç kiralama firmasına ayrı ayrı özgülendiği bu nedenle bir araç kiralama firması tarafından  girilen araba kiralayan kişi veya kişilere ait verilere bir başka araç kiralama firması tarafından erişilmesinin mümkün olmadığı,
  • Aynı zamanda bu firmaların üçüncü kişilere ait verilere müdahale hakkının bulunmadığı ve bunun yanı sıra araç kiralama firmalarının müşteri havuzlarının kara liste sistemleriyle bağlantılı olmadığı,
  • Ürettikleri yazılım vasıtasıyla araç kiralama firmalarının müşteri bilgilerinin başka bir ortama aktarılmasının, başka firmalarca bu bilgilere ulaşılmasının veya şirketleri tarafından paylaşılmasının ya da ekran görüntüsü alınarak internet ortamlarında paylaşılmasının söz konusu olmadığı,
  • Müşteri araç kiralama firmaları tarafından sisteme işlenen veriler yönünden bu firmaların, verisini işlediği gerçek veya tüzel kişiden açık rıza alma şartının aranabileceği, fakat yazılımcı olan şirketlerinin sadece araç kiralama firmalarının müşterilerine ait verileri gizli tutma yükümlülüğü nedeniyle gizlilik politikası uyarınca sorumlu olduğu,
  • Araç kiralama firmalarının uygulama üzerinden kiralama bilgilerini doldurması ile programlar tarafından otomatik hazırlanan sözleşmeyi kendi müşterileriyle imza altına alarak kiralama işlemi gerçekleştirdiği,
  • Yazılım şirketlerinin veri sorumlusu olmadığı ve veri girişi yapmadığı; veri sorumlularının kendi müşterileri ile sözleşme yapan ve açık rızalarını alan araç kiralama firmaları olduğu; yazılım şirketlerinin ise eklenen verileri sadece saklamak ve diğer program üyeleri ile paylaşmakla yükümlü olduğu,
  • İlgili kişilerden elde edilen kimlik, adres ve telefon bilgilerinin ise Emniyet Genel Müdürlüğünün ve Kiralık Araç Bildirim Sisteminin (KABİS) oto kiralama firmalarına belirttiği şekilde saklandığı,
  • Kişisel verilerin toplanması, toplama yöntemleri, toplanacak kişisel veri türleri, toplanan verilerin hangi amaç ile kullanılacağı ve hangi bireylerin kişisel verilerinin toplanacağına araç kiralama firmalarınca karar verildiği; hizmet sözleşmeleri ile yükümlülüğün araç kiralama firmalarına bırakıldığı

ifadelerinin yer aldığı görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde Kurulun 23.12.2021 tarihli ve 2021/1303 sayılı Kararı aşağıdaki değerlendirmelere ulaşılmıştır.

1.    Araç Kiralama Programı Yazılım Şirketlerinin ve Araç Kiralama Firmalarının Veri Sorumluluğu Sıfatına İlişkin Değerlendirme

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusu, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
  • Kanun çerçevesinde bir işleme faaliyetinde veri sorumlusu veya veri işleyenin tespiti için işlenecek kişisel verileri, gerçekleşecek veri işleme faaliyetini, bu işlemenin amaçlarını ve şeklini kimin belirlediğinin göz önünde bulundurulması gerekmektedir. Bu çerçevede, veri işlemenin parçası olarak yalnızca veri sorumlusu tarafından:
    • İşleme faaliyetinin yasal dayanağı,
    • İşlenecek kişisel verilerin türleri,
    • Verilerin kullanılacağı amaç(lar),
    • İlgili kişilerin kimler olacağı (hedef kitle),
    • Verilerin aktarılıp aktarılmayacağı ve aktarılacak ise kime aktarılacağı;
    • Bireylerin hakları doğrultusunda veri sorumlusuna yapılan başvurulara nasıl cevap verileceği; verilerin ne kadar süreyle saklanacağı, değiştirileceği veya anonim hale getirileceği 

hususlarına karar verilebilecekken, veri işleyen tarafından ise ancak, veri sorumlusu ile yaptığı sözleşme şartları içinde sınırlı olarak;

  •  Kişisel veri toplamak için bilgisayar teknolojisi sistemlerinin veya diğer hangi yöntemlerin kullanılacağı,
  • Kişisel verilerin nasıl depolanacağı,
  • Kişisel verileri korumak için alınacak güvenlik önlemlerinin ayrıntıları,
  • Kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağı,
  • Belirli kişilerle ilgili kişisel verilerin nasıl elde edileceği (otomatik/otomatik olmayan yöntemler),
  • Saklama sürelerine uyulmasının nasıl sağlanacağı; verilerin nasıl silineceği veya imha edileceği

hususlarına karar verebilir.

 

  • Bu çerçevede ihbarda belirtilen iddialara ilişkin olarak öncelikle veri işleme faaliyetinin tayini ile veri sorumlusunun belirlenmesi gerekmektedir. Öyle ki kişisel verileri toplanan hedef kitle araç kiralama firmalarının müşterileri olup işleme faaliyetinin başlıca yasal dayanağı müşterilerle araç kiralama firmaları arasında imzalanan kira sözleşmesidir. Araç kiralama firmaları müşterilerine ait verileri toplamak için yazılım şirketlerine başvurarak özel bir yazılım geliştirilmesini talep etmiş yahut bu iş için kullanılmakta olan bir yazılımı satın almış olabilir. Diğer bir ifade ile araç kiralama firmaları ile bu yazılımları üreten şirketler arasındaki hukuki ilişki satış ya da hizmet sözleşmesi olarak adlandırılabilir. Her iki durumda da araç kiralama firmalarının müşterilerine ilişkin verileri kayıt altında tutacağı söz konusu yazılımların ‘yaşayan birer organizma’ olduğunu söylemek mümkündür. Öyle ki müşterilere ilişkin veri girişinin araç kiralama firmaları tarafından yapılıyor oluşu veri sorumlusu sıfatının tanımlanmasında tek başına yol gösterici bir belirteç değildir.
  • Veri sorumlusu olmanın belirleyicilerinden biri hangi verilerin işleneceğine sürecin başından itibaren kimin karar verdiğidir. Veri işleyen uhdesine bırakılacak işleme sürecinin teknik bilgi ve alanda uzmanlık gerektirmesi bu anlamda karar yetkisinin veri işleyende olduğu yanılgısını beraberinde getirmektedir. Oysaki veri işleyen, kendi adına bu verileri kullanmadan, veri sorumlusundan gelen talimat üzerine verileri toplayıp işlemektedir.
  • Bu anlamda, ortak bir amacın varlığı ve kişisel verilerin işlenmesindeki temel araçların birlikte belirlenmesi ortak veri sorumluluğunu beraberinde getirmekte olup ortak veri sorumlularından biri işlenmekte olan kişisel verilere erişemese dahi, bu erişememe durumu ortak veri sorumluluğunu etkilememektedir. İhbara konu yazılım şirketlerinin araç kiralama firmaları tarafından girilen verilere erişememesi bu anlamda tek başına veri sorumlusu olmayacağı anlamına gelmemektedir. Öyle ki bir araç kiralama firmasının kara listeye alarak kaydettiği bir müşterinin kişisel verilerinin bu yazılım şirketine ait internet sitesi/veri tabanı aracılığıyla bir bulutta toplanıyor olması durumunda, söz konusu yazılım şirketlerinin depoladıkları bu verilere doğrudan erişimleri olmadan da onları kendi amaçları doğrultusunda kullandığı yorumunu yapmak mümkün olabilecektir.
  • Ortak veri sorumlularının yükümlülüklerinin eşit olarak paylaşılması zorunlu değildir, araç kiralama hizmeti sunan yazılım şirketine ait internet sitesinin araç kiralama firmalarından, araç kiralanmasına yönelik aydınlatma metni sunması ve verinin aktarımına ilişkin açık rıza alması da mümkündür. Bu tarz bir ortaklıkta veri işlemenin esaslarının belirlenebilmesi adına iki veri sorumlusu arasında söz konusu sürece ilişkin bir sözleşme yapılması sorumlulukların belirlenmesi (müşterek sorumluluk) açısından önem taşımaktadır, aksi takdirde herkes kusuru oranında ortaya çıkacak ihlallerden sorumludur. Bununla birlikte, yazılım şirketlerinin “Araç kiralama firmaları tarafından uygulama içerisine kaydedilen verileri depoluyor ve güvenliği sağlıyoruz, bu verilerin içeriğine erişimimiz yok” açıklaması ve sözleşme içeriğine “Yazılım ürünlerinin yanlış kullanılmasından, müşteriler tarafından kendi müşterileriyle alakalı fişlemeye girebilecek bilgilerin saklanmasından ve kullanılmasından yazılım şirketimiz sorumlu değildir” vb. kayıtlar koyması ile söz konusu uygulamaya girilen bu tarz kişisel verileri başka kullanıcıların (araç kiralama firmalarının) erişimine açıyor olması, araç kiralama firması ile yazılım şirketi arasında sorumluluğun sözleşme ile paylaşıldığı anlamına gelmemektedir.
  • Öte yandan idari para cezaları için genel kanun niteliğinde olan 5326 sayılı Kabahatler Kanunu’nun genel hükümleri arasında yer alan “İdari Para Cezaları” başlıklı 17’nci maddesinin 2’nci fıkrasında, idari para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı karara bağlanmıştır. Kurul tarafından idari para cezalarının miktarı belirlenirken de Kanunun 18’inci maddesi gereğince kabahat bazında bir ayrıma gidilmiştir. Ceza miktarının hesabında ihlalin niteliği, veri sorumlusunun niyeti, ilgili kişilere verilen zararı azaltmak için alınan önlemler, veri güvenliğine ilişkin alınan rutin önleyici tedbirler, inceleme faaliyeti sırasında veya ihlal sonrası Kurumla yapılan işbirliği ve ihlale konu veri türü gibi faktörler önemlidir.
  • Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusur ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekmektedir. Hukuka aykırı bir fiilin sorumluluk gerektirebilmesi için kişinin kusurlu olması gerekir. Kusur hem ceza hukukunda hem medenî hukukta hem de idare hukukunda ortak bir konudur. 6098 sayılı Borçlar Kanununda kusurun, sorumluluğun kurucu unsurlarından bir tanesi olduğu belirtilmiştir. Temelde ise söz konusu hukuka aykırı eylem bir haksız fiile vücut vermektedir. Kabahatler Kanununun 2’nci maddesine göre “Kabahat deyiminden; kanunun, karşılığında idarî yaptırım uygulanmasını öngördüğü haksızlık anlaşılır.” Kabahatler Kanununun 9’uncu maddesi gereğince kabahatin işlenebilmesi için kasıt ya da taksir şartı aranmaktadır. Kabahatler Kanununun 12’inci maddesinde ise aksine hüküm bulunmayan hallerde TCK’daki hukuka uygunluk nedenleri ile kusurluluğu ortadan kaldıran nedenlerin kabahatler bakımından da uygulanması gerektiği öngörülmektedir. Anayasa’nın 38’inci maddesinin 7’nci fıkrasında ve TCK’nın 20’nci maddesinin 1’inci fıkrasında cezaların şahsiliği ilkesine yer verilmiş ve suçun işlenmesine bizzat veya dolaylı olarak katılmadıkça kimsenin bir suçtan dolayı sorumlu tutulamayacağı ifade edilmiştir. Bu doğrultuda, veri sorumlusu sıfatına sahip olan her kişi 6698 sayılı Kanunun 12’nci maddesi gereğince hukuka aykırı eylemlerinden dolayı cezai müeyyideye tabi olabilecektir.
  • Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilmesi yerinde olacaktır. Örneğin araç kiralama firmalarına 2015 yılından beri Kiralık Araç Bildirim Sistemi (KABİS) kullanma zorunluluğu getirilmiştir. 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama firmalarının sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde bir düzenleme mevcuttur. Bu durumda mevzuat gereğince araç kiralama firmalarının tutmakla yükümlü olduğu verilerin hatalı ve eksik girilmiş veya girilmemiş olmasından araç kiralama firmaları sorumlu olacaktır. Araç kiralama firmaları ile birlikte ortak veri sorumlusu kabul edilebilecek yazılım şirketlerinin bu süreçte veri işleme faaliyetinde bir sorumluluğu olmadığı değerlendirilmektedir. Kısacası belirtilen hal ve koşullar altında toplanan veri üzerinde, söz konusu veri ilk elden başka bir veri sorumlusu tarafından elde edilmiş olsa bile, ilerleyen süreçlerde söz konusu kişisel veriler ile ilgili veri sorumlusu gibi hareket eden herkes Kanun gereğince veri sorumlusunun yükümlülükleri ile bağlıdır.

2.    Yazılım Şirketlerinin Sundukları Hizmeti Bulut Teknoloji Altyapısı ile Gerçekleştirmelerine İlişkin Değerlendirme

  • İhbara konu olayda yazılım şirketleri çevrimiçi ağ (network) üzerinden bulut bilişim (BT) vasıtasıyla araç kiralama firmalarına hizmet sunmaktadır. Bulut bilişim, ağ tarayıcılarıyla erişilen siteler sayesinde uygulamaların internet üzerinden kullanılmasını sağlamaktadır. Bir şirket, bulut bilişim kullanmakta ise bu şirketin BT altyapısı şirket dışında bulut bilişim sağlayıcı tarafından muhafaza edilen bir veri merkezinde depolanmaktadır. Üç ana bulut servisi türü vardır: Yazılım Hizmetleri (SaaS), Platform Hizmetleri (PaaS) ve Altyapı Hizmetleri (IaaS). 
  • Standart süreçlerde yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service)  şeklinde şirketler tarafından geliştirilen yazılım üzerinden araç kiralama firmalarına bir nevi platform olarak hizmet sunulması olduğu anlaşılmıştır. SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetimi yazılım şirketlerinde olup müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde “admin” yetkisine sahip kullanıcıların atandığı görülmüştür. Sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, müşterinin yazılım kodlarına müdahalesine izin verilmediği, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olduğu, sistemin düzgün işlemesi için gerekli fonksiyonları değiştirmeye yetkisinin ise bulunmadığı tespit edilen bir başka husustur.

3.    Veri İşleme Faaliyeti Sırasında İlgili Kişilerin Aleyhlerine Ortaya Çıkan Sonuçlara İtiraz Etme Haklarına ve Profillemeye İlişkin Değerlendirme

  • Uluslararası uygulamada bireyin davranışlarının analiz edilerek bunu izleyen davranışları hakkında tahminlerde bulunmak adına bireyin kişisel verilerinin otomatik olarak işlenmesi “profilleme” olarak adlandırılmaktadır. "Tahmin" kelimesinin kullanılması aslında profil oluşturmanın bir kişi hakkında bir tür değerlendirme veya yargı içerdiğini göstermektedir. 
  • Profillemenin her zaman olumsuz bir eylem olduğunu söylemek doğru değildir. Bireylerin temel haklarını ve güvenliklerini tehdit etmeyecek şekilde bir noktaya kadar profillerinin oluşturulması makul görülmektedir. Bireyin profiline ilişkin kullanılan kıstaslar ve işleme süreci hangi noktaya kadar profillemeye izin verilebileceğinin olay bazında incelenmesi gereğini de birlikte getirmektedir. Söz konusu profil oluşturma sırasında istenmeyen/hedeflenmeyen sonuçların ortaya çıkması da muhtemeldir. Oluşturulan profil, ilgili kişiyi tek bir kategoriye sabitleyerek seçeneklerini kendisine önerilenlerle sınırlayabilir öyle ki hatalı tahminlere dayanan varsayımlar nedeniyle bir hizmetten kısmen veya tamamen yararlanamama sonucunda ilgili kişinin ayrımcılığa uğramasına ya da olumsuz bir sonuçla karşılaşmasına da sebebiyet verebilir.
  • 6698 sayılı Kanun’un lafzında ilgili kişinin haklarının sayıldığı 11’inci maddeye bakıldığında ilgili kişilerin “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı olduğu görülmektedir. Yani mevzuatın, profilleme faaliyeti için gerekli olan otomatik veri işleme nedeniyle olumsuz bir sonuç doğacağı durumlarda ilgili kişilere bu işlemeye itiraz etme hakkı tanıdığını söylemek mümkündür. 
  • Veri sorumluları genel ilkelere uygun hareket ettikleri ve kişisel verilerin işlenmesinde yasal bir temele sahip oldukları sürece profil oluşturma ve otomatik karar verme sistemleri kullanma hakkına sahiptir. Bu kapsamda, ilgili kişilerin, kara liste uygulaması amacıyla profillemeye tabi olduğu hallerde dahi olay özelinde bu durumu Kanunun 4’üncü maddesi gereğince genel ilkelere ve 5’inci maddesi gereğince belirtilen şartlara uygun veri işlendiği şeklinde yorumlamak mümkündür. Ancak 5’inci madde gereğince ilgili kişinin açık rızası dışında kalan hallerden olan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
    • Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
    • Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
    • Meşru menfaatin hali hazırda mevcut, belirli ve açık olması,
    • İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
    • Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
    • Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
    • Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
    • Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
    • Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

hususlarının değerlendirilmesi gerekmektedir. Yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun söz konusu bilgiyi otomatik işleme tabi tutması ile sağlayacağı menfaatler arasında denge testi yapılırken yarışan menfaatlerden hangisinin ağır bastığı veri sorumlusunca tespit edilmelidir. Ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği tabidir.

  • İhbar konusu kapsamında ise söz konusu inceleme sırasında bazı araç kiralama firmalarının internet sitelerinde, kiralanan araçların bu yazılım üzerinden takip edilebileceği hususunda otomatik veri işleme faaliyeti gerçekleştirildiği beyan edilmektedir. Araçlarının konum bilgilerinin takip edildiği durumlarda veri sorumluları tarafından ilgili kişilerin kişisel verileri işlenirken, konum verilerinin işlenmesinin özellikle ilgili kişilerin yaşam alışkanlıklarını ortaya çıkarabileceği akılda tutulmalıdır. Kullanılan uygulamaların, gerçekleştirilen yolculukların, iş yeri ve ikamet yeri ile sürücünün ziyaret ettiği diğer yerlerin konum bilgilerinin öğrenilmesine olanak sağlamasının kişi hakkında bir profil çıkarılmasına ve yaşam alışkanlıklarından hareketle ilgili kişinin özel nitelikli verilerini de ihtiva edebilecek (dini, inancı, cinsel hayatına ilişkin bilgiler vb.) pek çok verisinin ortaya çıkmasına sebebiyet vererek ilgili kişi açısından olumsuz bir sonuç meydana getirebilecektir. Buna göre, konum verilerinin toplanması yoluna gidilmesinin istisnai olarak uygulanan bir durum olması gerektiği değerlendirilmektedir.
  • Öte yandan konum bilgilerinin yanı sıra müşterilerin sözleşme ilişkisi boyunca kiraladığı araca verdiği zararın veya aracı teslim sürecinde yarattığı gecikmenin ya da ödeme konusunda yol açtığı sorunların veri sorumlusunca bir sisteme girilerek kaydediliyor oluşu, başlı başına konum izlemesinde olduğu gibi bir profilleme faaliyetini gündeme getirmeyecektir. Çünkü öncelikle veri sorumlusu tarafından girilen verilerin otomatik işleme tabi tutularak ilgili kişiler hakkında mekanik bir sonucun çıkması profillemeden beklenen sonuçtur. Burada ise “A kişisinin teslim ettiği aracın ön camının çatlamış olduğu görüldü/ koltuklarda sigaradan kaynaklı olduğu tespit edilen yanıkların olduğu görüldü vb.” gibi hususların veri sorumlusunca “kara liste” başlığı altında kayıt altına alınması ancak kısmen otomatik olan bir veri işlemedir. Ancak, kara liste kaydı sonucunda kişi hakkında otomatik bir karara varılması söz konusu ise (bu kişiye araç kiralanamaz uyarısı vb.) bu durumda uygulamanın otomatik bir işleme olduğunu söylemek mümkün olacaktır. 
  • Kanunun 5’inci maddesi gereğince veri sorumlularının meşru menfaati gereği veri işlemesinin zorunlu olduğu durumlarda denge testi yapılması gerekmektedir. Araç kiralama firmalarının faaliyet alanları ile ilgili olarak, bu firmaların çalışanları ve akdi ilişkide oldukları gerçek ve tüzel kişilerce bilinen; işletmenin ticari başarısı ve verimliliği için önem arz eden; rakiplerine karşı kendisi için avantaj teşkil eden; gerek kamuya gerekse ilgisi olmayan şahıslara açıklanmaması gereken; firmanın iç işleyişi, mali ve iktisadi durumu, faaliyet hedef ve stratejisi, fiyatlandırma uygulaması bilgisi, pazarlama stratejisi ve taktikleri, müşteri potansiyeli ve ağ bilgisi, her türlü sözleşme, protokol bilgileri gibi bu türden tüm bilgi/belgeyi ifade eden ve kendisini zarara uğrattığını düşündüğü bu kişilere ilişkin oluşturduğu kayıtlar şirket ticari sırrı olarak kullanılabilir niteliktedir. TTK’nin 527’nci maddesi hükmü gereğince 404’üncü madde hükmü saklı kalmak üzere, görevi dolayısıyla incelemesine sunulan defter ve belgeleri inceleyenlerin, elde ettikleri veya verilen bilgilerden öğrendikleri iş ve işletme sırlarını açıklamaları yasaktır. Aksi hâlde bu kişiler şirketin maddi ve manevi zararını tazmin etmek zorundadır. TCK’nın 239’uncu maddesinde ise bu minvalden verileri yetkisiz kişilere verenler veya ifşa edenler hakkında cezai yaptırım uygulanacağı öngörülmüştür. Söz konusu ticari sırlar aynı zamanda müşterilere ilişkin kişisel veriler de içermektedir. Kanuni yükümlülükler gereğince de işletme faaliyetleriyle sınırlı olmak üzere kullanılabilecek bu verilerin sırf kişinin “kara liste”ye kaydedilmesine sebebiyet verecek bir davranışı olmasından bahisle kişinin özel hayatının gizliliğini ve kişisel verilerinin korunmasını isteme hakkını ihlal etmeyeceği değerlendirilmektedir. Ancak belirtilen alana girilecek verilerin sınırlı olmadığı düşünüldüğünde kişinin ayrımcılığa uğramasına sebebiyet verecek ve davranışsal durumlar haricinde kalan genel ve özel nitelikli verilere yer verilmesi durumunda artık bir ticari sırrın varlığından bahsetmek mümkün değildir (Örneğin; cinsel yönelimi sebebiyle kişinin kara listeye alınarak araç kiralama hizmetinden yararlandırılmaması). Elbette ilgili kişinin kara listeye alınması sebebi ne olursa olsun şunu belirtmekte fayda vardır ki bu sebebe erişim hakkı olan herkes kendi değerlendirme ve imtiyaz hakkına sahiptir, ilgili kişinin A firmasından hizmet alamıyor olması B firmasından da hizmet alamayacağı anlamına gelmemektedir. Bu kapsamda sisteme girilen verilerin mevzuata uygun edinilip işlendiği yönünde Kanun gereğince veri sorumlusu sıfatını haiz olan taraf araç kiralama firmalarıdır. 
  • Araç kiralama firmalarının acentelerinde veya şubelerinde söz konusu listede yer alan ilgili kişiler hakkında yaptığı yorumun görünür kılınması ise bu ticari sırrın kullanımından öteye gitmediği sürece meşru menfaat kıstasına uygun bir işleme olarak kabul edilebilir. Ancak söz konusu ihbarda yer alan yazılım şirketlerinin araç kiralama firmalarının müşterileri hakkında yaptığı yorumlara dayanan “kara liste” uygulamasını yine aynı yazılımı kullanmakta olan diğer araç kiralama firmalarınca da görünür kılması ve hatta bu özelliği bir pazarlama stratejisi olarak öne sürmesi ne meşru menfaat kıstası ne de araç kiralama firmalarının talimatı doğrultusunda yapılan hukuka uygun bir veri işleme olarak değerlendirilebilir. 

4.    Kişisel Verilerin Kara Liste Uygulaması ile Diğer Kullanıcıların Erişimine Açılmasına İlişkin Değerlendirme

  • Kanunun 8’inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.
  • Kişisel verilerin "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Veri sorumlusu aktarım için hizmet alabileceği gibi bu veriyi kendisi aktarmayı da seçebilir. Ancak veriyi aktaran kim olursa olsun (ister veri işleyen, ister veri sorumlusu) bu kişisel veriye erişebilir, onun ne olduğunu görebilir ve kullanabilir. Bu sebeple yapılacak nitelendirmeye göre veriyi aktarma yetkisi olan kişinin sorumluluğu belirlenmelidir.
  • Araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilerek diğer firmalarca yapılan yorumların da bu alana eklenebiliyor olması hem müşteri sırrının (ticari sır) ifşası hem de kişisel verilerin ifşası anlamına gelmektedir. Bu kapsamda artık yalnızca araç kiralama firmalarının veri sorumlusu olduğundan bahsetmek mümkün değildir. Yazılımın özelliği olarak sunulan bu veri aktarım faaliyeti artık araç kiralama firmalarınca girilen ilgili kişilere ait kişisel verilerin yazılım şirketleri tarafından kullanılması anlamına gelmektedir. İlgili kişilere ait bu tarz verilerin aktarılabilmesi için Kanun’un 5 ve 6’ncı maddelerine dayanan bir hukuka uygunluk sebebi bulunmalıdır. “Kara liste” uygulamasının doğası gereği ilgili kişilerin bu duruma rızası olması beklenemeyeceğinden 5’inci maddenin (2) numaralı ya da 6’ncı maddenin (3) numaralı fıkrasındaki şartların varlığı gerekmektedir. Yazılım şirketlerinin araç kiralama firmalarının müşterilerine ait verileri işleme noktasında bir yasal yükümlülüğü bulunduğunu söylemek mümkün olmadığından bu tarz verilerin ancak yukarıda açıklanan meşru menfaat kıstası çerçevesinde söz konusu araç kiralama firmasının “iş ortakları, şubeleri veya acenteleri” ile paylaşılmasının mevzuat uyarınca mümkün olacağı değerlendirilmektedir. Ancak burada aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu sıfatıyla ilgili kişilere aydınlatma metni aracılığıyla aktarım öncesi bildirilmiş olması gerekmektedir. Oysaki görülen uygulamada söz konusu aktarım faaliyetinin araç kiralama firmalarınca direkt kendilerinden diğer firmalara değil öncelikli olarak yazılıma yapıldığı; bu durumun da araç kiralama firmalarınca paylaşıma açılan verilerin, hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vermesinden ötürü başta veri işlemenin temel ilkelerine sonrasında da veri aktarımının genel prensiplerine aykırılık oluşmasına neden olduğu değerlendirilmektedir.

Yukarıda yer alan açıklamalar ışığında veri işleme süreçlerinin fiziksel olarak nasıl yürütüldüğünün söz konusu ihbarda yer alan iddialar, veri sorumlularından alınan bilgi, belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde;

  • Yazılım şirketlerinin sunduğu bulut tabanlı SaaS hizmetinin gereği olarak veri tabanını ve yazılımın yönetimini bünyesinde barındırması; müşterilerde (araç kiralama firmalarında) ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için kendi bünyesinde ‘admin’ yetkisine sahip kullanıcılar ataması; yazılım bakımı ve geliştirmesi için aylık olarak düzenli bir ücret alması ve sözleşmelerini belirli periyodlarla yenilemesi; söz konusu yazılımın telif haklarının bu Şirketlere ait olması ve kullanıcılarına lisans vererek ilgili programı kiralaması; sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmaması, yazılım şirketlerinin müşteri olan araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmemesi, bu sebeple müşterinin yönetim yetkilerinin içerikle sınırlı olması, müşterinin sistemin düzgün işlemesi için gerekli fonksiyonları değiştirme yetkisinin ise bulunmaması ve elde edilen bulgulara göre şirketlerin uygulama içinde “kara kutu” bölümü oluşturarak araç kiralama firmalarınca girilen ilgili kişiler hakkındaki bu değerlendirmeleri uygulamalar vasıtasıyla diğer tüm kullanıcılara açılabilmesi; yazılım şirketleri her ne kadar araç kiralama firmalarıyla yaptığı sözleşmelerde olası kara liste uygulamaları için sorumsuzluk kaydı koymuşsa da, araç kiralama firmalarının uygulamaya girerek kaydettiği verileri, Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın kendi ticari faaliyetleri kapsamında kişisel verilerin bir kuruluştan diğerine nasıl aktarılacağına karar vermesi hallerinde 6698 sayılı Kanunun 3’üncü maddesi gereğince yazılım şirketlerinin veri sorumlusu olarak hareket edeceği kanaatine varılmıştır. Araç kiralama firmalarının ise belirtilen veriler üzerinde sorumlulukları yazılım şirketi ile elbirliği halinde devam edecektir.
  • Kanunun 12’nci maddesi gereğince veri sorumlusu olarak hareket eden yazılım şirketlerinin müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen verilere hukuka aykırı olarak erişilmesini önlemek; bu verilerin muhafazasını sağlamak yükümlülüklerine aykırı hareket ederek söz konusu verileri diğer müşterilerinin de erişimine açmış olacağı; aktarımın direkt veri sorumlusundan diğer araç kiralama firmalarına değil öncelikli olarak yazılıma yapıldığı; bu durumun da paylaşıma açılan verilerin hangi firmalarca görülebileceğinin bilinememesine yol açacağı; veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapma imkanı bulunmamasına rağmen yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya açarak Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin 2’nci fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği kanaatine varılmıştır.

Bu kapsamda;

  • Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği, hem de Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin (2) numaralı  fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği dikkate alındığında, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine, 
  • Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına

karar verilmiştir.

16.12.2021: “Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi ”
Karar Tarihi : 16/12/2021
Karar No : 2021/1262
Konu Özeti : Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği, ilgili kişinin konuya ilişkin olarak veri sorumlusundan vekili aracılığıyla bilgi talebinde bulunduğu, ayrıca kişisel verilerinin silinmesi veya yok edilmesinin talep edildiği ancak başvurusunun yanıtsız bırakıldığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • İlgili kişinin yazılı başvurusunun öncelikle usulü açıdan değerlendirildiği, ilgili kişinin kendilerine başvurusunda, dilekçe ekinde yer alan vekâletnamenin dava aşamasındaki yetkileri içeren “genel vekâletname” niteliğinde olduğu, vekaleten istenen bilgilerin kişiye sıkı sıkıya bağlı hak olarak değerlendirilen kişisel verilerin işlenmesine yönelik olduğundan ve kişisel veri ve daha hassas bir koruma gerektiren özel nitelikli kişisel verileri de içerebilme ihtimali bulunduğundan ilgili kişi adına bilgi talep eden ve Kişisel Verilerin Korunması Kanunun 11 inci maddesi kapsamındaki hakları ilgili kişi adına kullanan vekilin, bu hakları kullanabilmek için özel yetki içeren vekalete sahip olması gerektiğinin değerlendirildiği, 
  • Açık bir şekilde özel vekaletname ile başvuru yapılabileceğinin “Başvuru Formu”nda yazılı olarak belirtilmesine rağmen, taraflarına usulüne uygun bir başvuru yapılmadığı; veri sorumlusuna başvuru yolunun tüketilmeden Kurula şikayette bulunulamayacağı bu nedenle Kanunun 14 üncü maddesi gereği ilgili kişinin şikayetinin reddedilmesi gerektiği, 
  • Taraflarının sigortacılık faaliyetlerini yürütmekte ve bu amaçla çeşitli sigorta acenteleri ile işbirliği yapmakta olduğu, şirketlerinde ilgili kişiye ait, acenteleri sıfatıyla ….Bankası aracılığı ile yapılmış sigorta poliçelerinin olduğu ve söz konusu banka bilgilerinin poliçelerle bağlantılı olarak acenteleri … Bankası tarafından sağlandığının tespit edildiği,
  • Taraflarına iletilen banka bilgilerinin; hesap tipi, banka kodu, hesap türü, şube kodu, döviz bilgisi, hesap numarası, kullanım amacı, IBAN numarası bilgileri olduğu; anılan verilerin işlenme amacının poliçe prim tahsilatının yapılabilmesi ve poliçeden doğan yükümlülüklerinin yerine getirilmesi olduğu,
  • Şikâyete konu bilgi paylaşımının acenteleri sıfatıyla … Bankası tarafından ilgili kişi için tanzim edilen poliçelere istinaden gerçekleştirildiği, bu doğrultuda satışını gerçekleştirdikleri poliçelere ilişkin hasarın tespiti ve tanzim edilmesinin hukuki bir zorunluluk olduğu, 
  • Şikayete konu olayda, ilgili kişiye ait kasko poliçesi kapsamındaki hasar talepleri için Tüketici Hakem Heyetine başvurulduğu, verilen kararda ilgili kişiye ödeme yapılmasına hükmedildiği, poliçeden doğan kesinleşmiş yargı kararı ile sabit hasarı tazmin etme yükümlülüğünün yerine getirilmesi amacıyla Kişisel Verilerin Korunması Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanılarak Şirket kayıtlarında bulunan banka hesabına ödeme yapılması suretiyle ilgili kişinin banka bilgilerinin işlendiği,
  • Yapılan araştırmada, ilgili kişinin şikâyete konu bilgilerinin yurt içi ve yurt dışındaki herhangi bir kişi ya da kurumla paylaşılmadığının tespit edildiği, söz konusu verilerin yalnızca Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla, ilgili Banka nezdindeki sigorta şirketi hesaplarından şikâyete konu banka hesap numarasına ödeme işlemlerinin tamamlanması amacıyla işlendiği,
  • Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarih ve 2021/1262 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, bu çerçevede şikâyete konu olayda sigorta şirketinin veri sorumlusu olduğu, Bankanın sigorta acentesi olarak ilgili kişi ve veri sorumlusu arasında sözleşme ilişkisinin kurulmasında veri sorumlusu adına hareket ederek veri sorumlusuna veri işleyen olarak hizmet sunduğu, 
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlığını taşıyan 5’inci maddesinin birinci fıkrasında “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmü ifade edilerek başvuruda bulunması zorunlu unsurlar; ad, soyad, başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusu olarak ayrıca sayıldığı,
  • Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. (4) Cevap yazısının; a) Veri sorumlusu veya temsilcisine ait bilgileri, b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, c) Talep konusunu, ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını, içermesi zorunludur. (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir. (6) İlgili kişinin talebinin kabul edilmesi halinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.” hükmünü haiz olduğu,
  • Somut olayda, ilgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekâletname bulunmaması sebebiyle cevaplanmamasına karşılık, kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği,
  • Ayrıca Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin ikinci fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” Hükmüne karşılık veri sorumlusunun ret gerekçesini ilgili kişiye bildirmediği anlaşıldığından veri sorumlusunun Tebliğ’e aykırı hareket ettiği,
  • Öte yandan Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • İlgili kişinin veri sorumlusundan sigortalı olduğu, poliçeden doğan ve Tüketici Hakem Heyeti kararı ile kesinleşen tazminatın ilgili kişiye ödenebilmesi amacıyla veri sorumlusunun Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak ilgili kişinin banka bilgilerini işlediği ve somut olayın hukuka aykırılık teşkil etmediği,
  • Diğer taraftan veri sorumlusu ile ilgili kişi arasındaki sigorta sözleşmesinin/ilişkisinin sona erdiğini gösterir herhangi bir belgenin Kuruma sunulmadığı hususları ile veri sorumlusunun hasar dosyası kayıtlarında Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği beyanı dikkate alındığında Kanun’un 7’nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı 

değerlendirmelerinden hareketle; 

  • Veri sorumlusunun yasal temsilci vekâletnamelerinde “özel yetki” aramaması hususunda uyarılması, vekâletnamelerde “özel yetki” bulunması gerektiğine dair veri sorumlusu tarafından tanzim edilen ilgili kişi başvuru formu, aydınlatma metni ve kişisel verilerin korunması ile alakalı diğer dokümanlardan bu ibarenin kaldırılarak Kurula bilgi verilmesi ile Tebliğ’in 6’ncı maddesi uyarınca başvuruların gerekçesi açıklanarak reddedilmesi hususlarında veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun, ilgili kişinin kişisel verileri niteliğindeki banka bilgilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak işlediği değerlendirildiğinden şikâyete ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına,  
  • Kişisel verilerin silinmesi veya yok edilmesi talebinin yerine getirilmediği iddiası bakımından, ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin/ilişkisinin devam ettiği, veri sorumlusunun yasal yükümlülüğü gereği ilgili kişinin kişisel verilerini muhafaza etmesi gerektiği dikkate alındığında Kanun’un 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmaması sebebiyle konu hakkında Kurul tarafından tesis edilecek bir işlem bulunmadığına

karar verilmiştir.

16.12.2021: “İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 16/12/2021
Karar No : 2021/1258
Konu Özeti : İlgili kişinin kişisel verilerinin iş akdi sona erdiği şirket tarafından hukuka aykırı olarak işlenmesi

 

İlgili kişinin, Kuruma intikal eden şikayetinde özetle veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • İlgili kişinin, şirkette “e-ticaret pazar yerleri yetkilisi” olarak işe başladığı ve daha sonrasında istifa ettiği, istifa süreci yaşanırken ilgili kişinin şirket ile rakip alanda faaliyet gösteren bir firmada çalışmak üzere istifa ettiği bilgisinin şirket tarafından öğrenildiği, bu nedenle ilgili kişiye keşide edilen 07.01.2020 tarihli ihtarname ile “muhatabın iş sözleşmesinin 7.7. maddesi uyarınca 3 yıllık çalışma süresi dolmayan çalışanın, ‘….’ eğitimi nedeniyle ödenen eğitim ücretinin iadesi ve ayrıca iş sözleşmesinin 8. maddesinde düzenlenen rekabet yasağına aykırı davranışları nedeniyle sözleşme maddesi uyarınca son aylık brüt ücretinin 12 katı tazminat ödemesi gerektiği, aksi takdirde yasal yollara başvurulacağının…” bildirildiği, 
  • İlgili kişi tarafından söz konusu ihtarnameye cevaben gönderilen 23.01.2020 tarihli ihtarname ile rekabet yasağı ihlali iddialarının kabul edilmediği, eğitim giderinden işçinin sorumlu tutulamayacağının bildirildiği, Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetinde Şirkete toplam 8 soru yöneltildiği, 
  • Şirket tarafından ilgili kişinin Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetindeki sorularına cevap verildiği, söz konusu cevapta Şirket tarafından tüm çalışanlara ilişkin kişisel bilgilerin 6698 sayılı Kanun’daki önlemlere göre muhafaza edilmekte ve Kanun’dan doğan tüm yükümlülüklerin Şirket tarafından yerine getirilmekte olduğunun belirtildiği, 
  • Şikâyet dilekçesinde ileri sürülen “kişisel verilere yönelik başvuru yapılmak istendiğinde bir başvuru formunun olmadığı, başvuru yollarının bildirilmediği, aydınlatma yükümlülüğünün yerine getirilmediği” iddialarının tümünün gerçek dışı olduğu, ilgili kişinin imzaladığı iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesindeki ifadelerden Şirketin aydınlatma yükümlülüğünü yerine getirdiğinin görüleceği, 
  • Ayrıca, Şirket’in yalnızca kendi çalışanları için kurmuş olduğu sosyal bir ağ olan “…” adresinden de aydınlatma metninin yayınlanmış olduğu ve bu aydınlatma metninde kişisel verilere yönelik başvurunun nasıl yapılacağı ve başvuru yolları konusunda ayrıntılı bilginin yer aldığı, 
  • Parmak izi ve yüz tarama sisteminin Şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığı, ilgili kişiden de parmak izinin bu kapsamda alındığı, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ve Kanun doğrultusunda amaçla uygun ve sınırlı ölçüde kullanılmakta olduğu, bunlar haricinde ilgili kişiye ait Şirket tarafından işlenmiş olan bir özel nitelikli kişisel veri bulunmadığı, 
  • İlgili kişinin yurt dışına aktarılan bir kişisel verisinin bulunmadığı, 
  • Şikâyet dilekçesinde ileri sürülen kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı ve veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığı iddialarının kabulünün mümkün olmadığı, veri sorumlusunun hem çalışanlarının hem müşterilerinin kişisel verilerinin korunmasını sağlamak için gerekli tüm teknik ve idari güvenlik tedbirlerini almış olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, 

Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin
a) Hukuka ve dürüstlük kurallarına uygun olma, 
b) Doğru ve gerektiğinde güncel olma, 
c) Belirli, açık ve meşru amaçlar için işlenme, 
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Somut olayda, veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığı, 
  • Savunma dilekçesi ekinde yer alan ve ilgili kişiyle imzalanmış olan iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesiyle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olduğunun iddia edildiği, ilgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen 9’uncu maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı, bu nedenle, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği, 
  • Veri sorumlusu tarafından 2020 yılı Temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı, 
  • Özel nitelikli kişisel veri işlemenin açık rıza veri işleme şartına dayandırıldığı ancak “Açık rıza” kavramının Kanun’un 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin; veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanmasının önem teşkil ettiği, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Şikayete konu olayda ise ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu, 
  • Öte yandan, Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinin (ç) bendinde belirtilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği de işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği anlamına geldiği, ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmasının önem arz ettiği,
  • Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
  • Öte yandan, ilgili kişinin veri sorumlusu şirketin yurt dışında yer alan şubesine gittiği süreçte kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığını iddia ettiği, veri sorumlusunun ise savunma dilekçesinde ilgili kişinin herhangi bir kişisel verisinin yurt dışına aktarılmadığını belirttiği, ancak şikâyet dilekçesinde aktarım faaliyetine ilişkin somut bilgi ve belgelere yer verilmemiş olduğu ve bu nedenle bu iddialar bakımından Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının da belirtildiği, veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına, 
  • Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 

karar verilmiştir.

10.03.2022: “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi”
Karar Tarihi : 10/03/2022
Karar No : 2022/229
Konu Özeti : E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • Veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu,
  • Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği,  
  • Çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına dayanılarak da işleme faaliyetinin gerçekleştirilmediği,
  • İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde yer aldığı üzere yurt dışına aktarıldığı ve bu kapsamda ilgili kişinin açık rızasının alınmadığı,
  • Kanun’un 11’inci maddesi uyarınca sahip olunan tüm haklar kapsamında veri sorumlusundan bilgi talebinde bulunulduğu; ancak veri sorumlusunun cevabında yalnızca çerez kullanımlarına ilişkin bilgi verildiği, 
  • Ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı,
  • Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, gerek platform gerek mobil uygulama üzerindeki üye müşteri deneyiminin iyileştirilmesi olarak sunulan veri işleme amacı için  “hedefleme bilgilerinin” veya “beğenileri” gösteren değerlendirmelerin davranışsal reklamcılık çerezi işlevi kazandığı ve işlenmesine gerek olmadığı hâlde işlendiği, “üye müşterinin açık rızası doğrultusunda yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, 
  • Ziyaretçi için hedeflemeli çerezler aktifken hedeflemeli reklamcılık yapılmadığının belirtilmesinin doğru olmadığı, çevrim içi ziyaretçinin IP adresinin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sebebiyle işlendiği ve bunun politikada belirtildiği; ancak kişisel veri olan IP adresinin işlenmesi sırasında hedeflemeli reklamcılık çerezlerinin site üzerinde aktif hâlde bulunmasının hedefleme yapılmamasını imkânsız kıldığı, 
  • İnternet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı, çerezlerin ve üçüncü taraf çerezlerin özelliklerine tam ve doğru bir şekilde yer verilmediği, veri saklama sürelerinin sınırlı sayıda çerez için belirtildiği, bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması ile bazı bilgilerin iki platform arasında paylaşılarak kullanıldığı,
  • İşlevde olan çerezlerin ve işlenen kişisel verilerin sadece bir kısmı gösterilerek tam bilgi sunulmamasının çerezler konusundaki aydınlatma yükümlülüğünün yerine getirilmediğinin kanıtı olduğu,
  • Ayrıca, tarayıcı veya mobilde çerezleri devre dışı bırakmanın bir önlem olarak sunulduğu, tarayıcıda çerezlerin devre dışı bırakılmasının kişinin tarayıcı deneyimini tamamen katlanılamaz hâle getirdiği, kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını engellemediği her hâlde kişisel verilerin işlenmiş olacağı,
  • Üçüncü taraf analitik çerezlerin her zaman meşru sayılamayacağı, bu çerezlerin kullanıcı deneyimine yarar sağlamadığı, internet sitesinde 14 adet analitik çerez kullanılmak suretiyle yurt dışına kişisel veri aktarılmasının Kanun’a uygun şekilde gerçekleştirilmediği, veri sorumlusunun cevabında Avrupa Birliği müktesebatında bu tür çerezlerin kullanılmasına ilişkin olarak e-Gizlilik Regülasyonunun henüz taslak aşamasında olduğunun vurgulandığı, ancak regülasyon olarak taslağı hazırlanan 2002/58 sayılı e-Gizlilik Direktifinin, 2009/136 sayılı Direktif düzenlemesi olarak güncel hâlde yürürlükte olduğu, davranışsal reklamcılık ve analitik çerezlerin uygulanmasında 2002/58 sayılı Direktifin 5’inci maddesinin (3) numaralı fıkrası ile kullanıcıya tanınması gereken “reddetme hakkı”nın, 2009/136 sayılı Direktifte tekrar düzenlendiği, hâlihazırda bu tür çerezlerin uygulanmasının, 95/46 sayılı Direktif’te tanımlandığı hâliyle “rıza”ya tabi olduğu, güncel durumun, bu rızanın artık Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) göre yorumlanması yönünde olduğu, 
  • Üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi tutulmadığının belirtildiği ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu

belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan konuya ilişkin savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler vasıtasıyla işlenen kişisel verilerinin “oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve ‘kesinlikle gerekli çerez’ statüsünde olmayan çerezler” şeklinde olduğu ve bunların Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında işlenmekte olduğu,
  • “Kesinlikle gerekli çerez” statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu hizmet sağlayıcısı sıfatıyla çevrim içi bedelli olarak kullanıcılara sunulan elektronik ticaret hizmetinin sunulabilmesi için kesinlikle gerekli çerezler olduğu,
  • “Kesinlikle gerekli çerezler” ve bilgi toplumu hizmetinin sunulması noktasında, kendilerinin bir bilgi toplumu hizmet sağlayıcısı olduğu ve bu kapsamda kullandıkları bazı çerezlerin hizmetin sunumu açısından “kesinlikle gerekli çerezler” olduğu ve bunlar bakımından web sitesi veya mobil uygulama kullanıcılarından açık rıza alınmasının gerekli olmadığı ve bilgi toplumu hizmet sağlayıcısı olarak meşru menfaatlerine istinaden kişisel verilerin işlenmekte olduğu, bu kapsamdaki çerezlere örnek olarak kullanıcı girişi, kimlik doğrulama, güvenlik, ağ yönetimi ve kullanıcı tercihlerini saklamak için kullanılan oturum çerezlerinin verilebileceği,
  • “Kesinlikle gerekli çerez” kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online reklamcılık çerezlerinin kullanıldığı, bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde pop-up şeklinde bir aydınlatma metni çıktığı, kullanıcıların internet sitesindeki Gizlilik ve Çerez Politikalarına yönlendirildiği, Çerez Politikasında da çerezlerin nasıl kullanıldığı, birinci ve üçüncü taraf çerez ayrımı ve işlevleri, üçüncü taraf çerezlerin reklam ve hedefleme amacıyla nasıl kullanıldığı, çerez sağlayıcı, çerez adı, çerez çeşidi, çerez amacı, çerez süresi ve detaylı olarak çerez yönetiminin nasıl yapılacağına ilişkin olarak kullanıcıya bilgi verildiği,
  • Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının AB’de “çerez duvarları” (cookie walls) veya “takip duvarları” (tracking walls) olarak adlandırılan uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına bağlanmadığı, bilakis ana sayfayı ziyaret eden kullanıcılara çerezlere ilişkin bilgilendirme yapıldığı ve çerezleri kabul etmeleri kaydıyla hizmeti kullanmalarının istenmediği,
  • Çerez uygulamalarının GDPR’nin yürürlüğe girdiği tarihe kadar Avrupa’da kabul edilen bir uygulama olduğu, aynı uygulamanın Türkiye’de yerleşik birçok şirket tarafından benimsenmekte ve kullanılmakta olduğu, GDPR’nin yürürlüğe girmesi ile birlikte 2002/58 sayılı e-Privacy Direktifi ile düzenlenen “kesinlikle gerekli çerezler” dışında kalan izleme ve online reklamcılık çerezlerine ilişkin olarak kullanıcıdan rıza alınması şartı getirildiği, uygulamada özellikle AB menşeli veya çok uluslu şirketler tarafından GDPR uyumu doğrultusunda, çerezler için açık rıza alınması ve açık rıza yönetimi sağlayacak şekilde internet siteleri tasarlanmışken birçok şirketin çerez kullanımına ilişkin olarak hâlâ GDPR öncesi uygulamaya devam etmekte olduğu, bu duruma netlik kazandırmak için Kişisel Verileri Koruma Kurulu tarafından da veri sorumlularına yardımcı olarak nitelikte bir rehber yayınlanmasının elzem olduğu, ilgili kişi tarafından yapılan şikâyetten bağımsız olarak, çerez kullanımına ilişkin olarak açık rıza alınması hususunda ve rıza yönetimini sağlayacak teknik çözüm sunan firmalarla görüşmelerin başladığı, ticari anlaşmalar yapıldığında ise çerezler için açık rıza ve kullanıcı tercih yönetimi sağlayacak şekilde sayfalarının çalıştığına ilişkin bilgilerin Kurula sunulacağı, 
  • Çerezlerin yalnızca e-ticaret siteleri tarafından değil, tüm internet ekosisteminde kullanılmakta olduğu ve günümüz dünyasında çerez kullanımının internet deneyimi açısından temel standart hâline gelmiş bir uygulama olduğu, dolayısıyla özellikle de e-ticaret platformlarının çerez kullanmaksızın temel işlevlerini yerine getiremeyecekleri ve kullanıcılarına kaliteli bir hizmet sunamayacakları, çerezler sayesinde yerine getirilen işlevleri başka bir araçla ikame etmenin mümkün olmadığı ve bir e-ticaret platformu için çerez kullanımının zorunlu olduğu, 
  • Çerez kullanımında meşru menfaatlerinin bulunduğuna kuşku olmadığı, zira çerez kullanımının müşteri deneyiminin iyileştirilmesi, müşteri tercih ve beğenileri odaklı hizmet sunulması ve müşteri istekleri doğrultusunda ürün ve hizmet optimizasyonu yapılabilmesi gibi karar destek sistemlerini besleyen temel gerekliliklerden biri olduğu ve aksi bir durumun, kullanıcı deneyimini ve kendi faaliyetlerini derinden zedeleyeceği, Şirketlerini sektörel rekabetin dışına iteceği,
  •  Veri işleme sonucu elde edilen menfaatin ilgili kişilerin temel hak ve özgürlükleriyle yarışabilir düzeyde ve orantılı olduğu, çerezlerin kullanılmasının özünün kullanıcı deneyimini iyileştirmek ve ilgili internet sitesini kullanıcısının en işine yarayacak ve en kolay şekilde kullanılmasını sağlamak olduğu, bu kapsamda çerezler vasıtasıyla kullanıcıların ilgi alanları ve istekleri göz önüne alınarak onlara özel bir deneyim sunulmasının amaçlandığı,
  • Çerezler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin meşru menfaat denge testini sağladığı görüşünde olunduğu; çerez ve benzeri teknolojilerin kullanımına ilişkin AB’nin GDPR ve e-Privacy Direktifi uygulamalarına paralel olarak “kesinlikle gerekli olmayan çerezler” için kullanıcının açık rızasının alınması ve rıza yönetimi süreçlerinin tasarlanmaya başlandığı, 
  • Ad-soyadı, iletişim bilgileri (telefon numarası, adres ve e-posta adresi) ve T.C. kimlik numarasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiği ve söz konusu kişisel verilerin yine aynı kapsamda satıcı ve kargo şirketi ile paylaşıldığı,
  • Sunulan Gizlilik Politikası ile Çerez Politikasının birbirini tamamlayıcı nitelikte olduğu ve çerezlerin kullanımı kapsamında işlenen verilere ilişkin olarak detaylı açıklamaları barındırdığı, ilgili kişinin aydınlatmada bulunmadığını iddia ettiği hususların Gizlilik Politikasında mevcut olduğu, ek olarak, ilgili politikalarda Kanun’un 10’uncu maddesinde bulunan her türlü içeriğin yer aldığı
  • İnternet sitelerinde ve mobil uygulamalarında “tracking wall” uygulamasının olmadığı ve çerezlerin Çerez Politikasında belirtilen şekilde kullanım dışı bırakılması durumunda da internet sitesinin işlediği ve etkin şekilde ziyaret edilmesinin mümkün olduğu,
  • Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğu, bu aktarıma ilişkin olarak gerek internet sitesinde bulunan politikalarında gerekse de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydında bilgilendirmenin yer aldığı ve ilgili kişilerin Kanun’un 10’uncu maddesi kapsamında bilgilendirildiği, 
  • Çerezlerin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in kapsamının dışında yer aldığı ve söz konusu Yönetmelik hükümlerinin çerezler bakımından uygulama alanı bulmadığı, bu sebeple de çerez uygulamaları için ticari elektronik ileti onayı alınması gerekmediği

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Kararı ile;

  • Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
  • “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
  • “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, 
  • Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,  
  • Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği, 
  • Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı, 
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı,
  • Bununla birlikte, çerez politikası içerisinde bulunan Çerez Yönetimi başlığı altında internet tarayıcısının çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini teminen yönlendirmelerin yapıldığının görüldüğü, 
  • Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı,
  • Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
  • Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi gerektiği,
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, 
  • Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği,
  • Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası oluşturduğu, ilgili kişilerin de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından bu metne yönlendirildiği dikkate alındığında veri sorumlusunun Gizlilik Politikasında çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği, ayrıca söz konusu metnin aydınlatma yükümlülüğünün düzenlendiği Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (Tebliğ) uygun olması gerektiği, 
  • Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı, 
  • Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (ğ) bendi kapsamında değerlendirildiğinde, çerezlerin niteliği itibariyle teknik bir konu olduğundan hareketle veri sorumlusunun Çerez Politikasında anlaşılır, açık ve sade bir dil kullandığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği

değerlendirmelerinden hareketle; 

  • Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,

Ayrıca,

  • Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması,
  • Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi,
  • Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi,
  • Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması

hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

  • Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu tarafından yerine getirildiğine

karar verilmiştir. 

09.12.2021: “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi”
Karar Tarihi : 09/12/2021
Karar No : 2021/1243
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı, kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun her nevi konferans, anket, tanıtım, reklam, konser organizasyonları düzenlemek ve bu işler için eleman sağlamak, bu organizasyonlar için ara teknik donanım kiralamak, bu işleri başkalarına yaptırmak, benzin istasyonu işletmesi ve çalışan temini, AVM işletmelerine çalışan temin etmek, hastane vb. sağlık kurumlarına çalışan temin etmek, inşaat vb. işletmelere çalışan temin etmek, lojistik sektörüne çalışan temin etmek, gemi işletmelerine çalışan temini hizmetleri vermek ve diğer her türlü sektörde ihtiyaç duyulan elemanları temin etmek, reklam, gösteri, kongre, konferans, ticari fuar, anket çalışmaları, pazarlama faaliyetlerine eleman tedarik etmek ve benzeri nitelikteki etkinliklerin organizasyon faaliyetlerini yürüttüğü,
  • İlgili kişiye ait e-posta adresinin veri sorumlusunca yürütülen ekonomik faaliyetler (anket ve tanıtım işleri) kapsamında edinildiği,
  • Söz konusu e-posta adresinin 6698 sayılı Kişisel Verilerin Korunması Kanunun’un (Kanun) 5’inci maddesinin (d) bendi kapsamında "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şartına dayanarak işlendiği,
  • Kişisel verilerin işlenmesinde Kanun kapsamında hareket edildiği, ilgili kişiye ilişkin hiçbir bilgi ve belge paylaşımının yapılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/12/2021 tarih ve 2021/1243 sayılı kararı ile;

  • Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde;

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
” 
hükmüne yer verildiği,

  • Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
  • Bu anlamda veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu,
  • Diğer taraftan Kanun’n “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7’nci maddesine göre kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkının düzenlendiği,
  • Kanun’un 7’nci maddesinin (3) numaralı fıkrasına dayanılarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesinin “Kanunun 5 inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.” ve aynı maddenin (2) numaralı fıkrasının “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” hükmünü haiz olduğu,
  • Bu kapsamda ilgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

09.12.2021: “Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması”
Karar Tarihi : 09/12/2021
Karar No : 2021/1239
Konu Özeti : Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kuruma intikal eden şikâyette özetle; 

  • Banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, 
  • Veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin de ortağı olduğu Şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, ilgili kişinin aranan numaranın ailesinin kullanımında olduğunu müteaddit kez belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu, 
  • Bu ihlal dolayısı ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 14 üncü maddesinin (2) numaralı fıkrası gereğince veri sorumlusuna başvuru yapıldığı, Banka tarafından vekaletnamede Kanun kapsamında talepte bulunma yetkisinin olmadığı gerekçesiyle vekile bilgi verilmeyeceği, cevapların şikayetçi müvekkile tebliğ edileceğinin beyan edildiği, sonrasında cevabın hazır olduğu 10 gün içerisinde tebliğ edileceğinin şikayetçiye bildirildiği ancak herhangi bir tebligat yapılmadığı, bunun üzerine tekrar Kanun kapsamında talepte bulunmaya ilişkin yetki içerir vekaletname ile yeni bir başvuru yapıldığı, bu başvurunun da reddedildiğinin öğrenilmesi üzerine Kuruma başvuru zorunluluğunun hasıl olduğu

belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Banka nezdinde bireysel müşteri kaydı bulunduğu, bunun yanı sıra ilgili kişinin hakim ortağı olduğu (…) Anonim Şirketi’nin de Bankada ticari müşteri kaydının yer aldığı, (…) Anonim Şirketi için kredi teklifi yapılabilmesi amacıyla şirkete ticari müşteri kaydı oluşturulurken alınan kredi başvuru formunda, anılan şirketin hakim ortağı ve aynı zamanda yönetim kurulu başkanı olması nedeniyle ilgili kişiye ait bazı bilgilerin de alındığı, kredi başvuru süreçleri aşamasında şirkete limit çalışması ve ticari kart başvurusu yapılması kapsamında ilgili kişinin de hakim ortak olarak Risk Merkezi bilgisinin sorgulandığı, Risk Merkezi'nden alınan ev telefonu numarasının Banka veri tabanına kaydedildiği, ilgili kişinin bireysel müşteri kayıtlarının içerisinde e-posta adresinin yer almaması nedeni ile cevabî yazının “resmi adres ve ev adresi” olarak kayıtlı olan adresine PTT aracılığıyla iadeli taahhütlü posta olarak gönderildiği,
  • 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ile alt düzenlemelerin belirlediği kapsamla sınırlı olacak şekilde ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, Banka müşterilerinin kredilendirme süreçlerinde kullanılmak üzere risk bilgilerini alabilmek amaçları ile Türkiye Bankalar Birliği Risk Merkezi’nden (Risk Merkezi) sorgulamalar yapılmakta olduğu, yapılan aramalarda müşteriye ulaşılamaması durumunda müşterilere ulaşabilmek amacıyla Risk Merkezi sorgulamasından elde edilen ve sistemlere “alternatif numara” olarak kaydedilmiş olan iletişim numaralarının da aranabildiği, bununla birlikte söz konusu alternatif numaraların aranması ve bu aramalara müşteri dışında üçüncü kişilerin yanıt vermesi durumunda üçüncü kişilerle hiçbir şekilde bilgi paylaşımı yapılmayıp, kendisine ulaşmak istenilen müşterilerin Bankayı geri araması hususunda not bırakıldığı,
  • İlgili kişinin hakim ortağı ve yönetim kurulu başkanı olduğu (…) Anonim Şirketi’nin Banka nezdinde kullandığı kredilerde gecikme oluşması nedeniyle, bu müşteri için yapılan aramaların başlamış olduğu, ilgili kişinin Banka sisteminde kayıtlı olan cep telefonu üzerinden muhtelif tarihlerde defalarca yapılan aramalara rağmen kendisi ile temas kurulamadığı, kendisinin Risk Merkezi nezdinde ev telefonu numarası olarak kayıtlı olan telefon numarasından çeşitli tarihlerde arama yapılarak görüşme sağlandığı, bu tarihlerde yapılan hiçbir aramada ilgili kişiye ya da kendisinin hakim ortağı ve yönetim kurulu başkanı olduğu şirkete ilişkin olarak üçüncü kişilere herhangi bir bilgi paylaşımı yapılmadığı, bu aramalarda ilgili kişiye iletilmesi için üçüncü kişilere sadece not bırakıldığı, ilgili kişinin yakınının bırakılan notu kendisine ileteceğini ifade ettiği ve Banka tarafından bu hususla ilgili olarak aranmak istemediklerine ilişkin bir talep iletmedikleri,
  • İlgili kişinin Bankayı araması ile yapılan görüşmede, aranan numarayı Bankaya vermediği ve ailesinin nasıl arandığını sorması üzerine, müşteri temsilcisi tarafından kendisine ulaşım sağlanamadığı zaman sistem tarafından otomatik olarak alternatif numaradan arama yapıldığı, Banka şubelerinden konuya ilişkin bilgi alınabileceği ve bununla ilgili olarak aranmak istemediği numaraları Banka kayıtlarından sildirebileceğinin belirtildiği, ilgili kişinin talebi üzerine kendisi ile görüşmeyi gerçekleştirmiş olan müşteri temsilcisinin söz konusu telefon numarasını, sistem üzerinde bu numaranın bir daha aranmamasını sağlayıcı aksiyon olarak “yanlış numara” şeklinde belirtmesi gerektiği halde, bu şekilde işlem yapmaması nedeni ile şikayet konusu telefon numarasına yapılan aramaların devam ettiği, ilgili personelin konu hakkında uyarıldığı, sonraki bir tarihte ilgili kişinin yakınının bu telefon numarasından aranmak istemediğini belirtmesi üzerine telefon numarasının arama engelli listesine eklendiği,
  • Şikâyete konu alternatif telefon bilgisinin, Risk Merkezi’nden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı

belirtilmiş ve risk merkezi üzerinden yapılan sorgulama sonuçlarında şikâyete konu telefon numarasının “ev telefon numarası” olarak görünen şekilde Banka sistemine yansımasına ilişkin ekran görüntüsü paylaşılmıştır.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, 6111 sayılı Kanun ile, 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci maddenin ilave edildiği, ek 1 inci madde ile Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulduğu, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyelerin, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca; “(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz. (2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır” hükmünün düzenlendiği, bu doğrultuda, Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanun’un 159’uncu maddesinde öngörülen yaptırımların uygulanacağının belirtildiği,
  • Öte yandan, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usullerin düzenlendiği, Risk Merkezi’ndeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususlarının da ayrı bir yönetmelik kapsamında düzenlendiği,
  • İlgili kişinin hakim ortak olduğu (…) Anonim Şirketi ile veri sorumlusu arasında kredi sözleşmesi olduğu, veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Bankacılık Düzenleme ve Denetleme Kurulu’nun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli kararı doğrultusunda gerçekleştirildiği, ilgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli  tarihlerde veri sorumlusunca yetkilendirilmiş kişilerce arama yapıldığı,
  • İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca ilgili mevzuattan bahsedilip bahis konusu telefon numarası ile ilgili gerekli aksiyonun alındığını da kapsayan özür ifadesinin yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği,
  • Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1218
Konu Özeti : İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi

İlgili kişinin şikâyetinde özetle;

  • Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin eylemli fesih yoluyla sona erdirildiği, 
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun, “iş sözleşmesinin devamı” ve “iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesi” olmak üzere iki farklı dönemde, ilgili kişiye karşı 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) kaynaklanan yükümlülüklerini yerine getirmediği,
  • İlgili kişi tarafından Kanun’un 13’üncü maddesine dayanılarak hazırlanan ve e-posta üzerinden veri sorumlusunun İstanbul İrtibat Bürosu’na yöneltilen 26/05/2021 tarihli İhtarname’ye cevaben iletilen 07/06/2021 tarihli e-postada açık ve doğru bilgi verilmediği,
  • İlgili kişiye verilen cevapta “Halen istihdam altında bulunduğunuzdan, çalışanın iş ilişkisinin karşılıklı ifası için gerekli kişisel verilerin işlenmesi KVKK m. 5/2 kapsamında ‘…c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.’ şeklindeki madde kapsamına girdiğinden, ayrıca aynı maddenin (e) ve (f) bentleri gereğince, iş akdinizin ifası çerçevesinde gerekli kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir. Dolayısıyla, ilgili yasal mevzuata uygun olarak ücretsiz izne çıkarıldığınızdan ve halen çalışan statüsünde olduğunuzdan, Kişisel Verilerin Korunması Kanunu kapsamında hiçbir hukuka aykırılık da söz konusu olmadığından talebiniz kabul edilememektedir.” ifadelerine yer verildiği,
  • İlgili kişiye iletilen metnin geçerli bir cevap olmadığı, zira ilgili kişi tarafından yöneltilen soruların geçiştirildiği, kaldı ki istihdam ilişkisinin devamının işverenin Kanun’dan kaynaklanan yükümlülüklerini yerine getirdiğine karine teşkil etmeyeceği ve çalışanın işverene karşı Kanun’dan doğan haklarını kullanmasının istihdam ilişkisinin sona ermesine bağlı olmadığı,
  • İşverenlerin Kanun kapsamında çalışanların özlük dosyalarının düzenlenmesi bakımından “veri sorumlusu” sıfatını haiz oldukları, bu sıfatla da Kanun’un 10’uncu maddesi uyarınca “veri sorumlusunun ve varsa temsilcisinin kimliği”, “çalışanın kişisel verilerin hangi amaçla işleneceği”, “işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği”, “kişisel veri toplamanın yöntemi ve hukuki sebebi” ve “ilgili kişi çalışanın bu kapsamdaki hakları” hakkında yazılı bir aydınlatma metni düzenlemek ve çalışanı bilgilendirmekle yükümlü oldukları,
  • İlgili kişinin istihdam edildiği süreçte kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, Kanun kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmediği,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin hangi üçüncü kişilere aktarıldığı ve ilgili kişinin kişisel verilerinin yurtdışına aktarılıp aktarılmadığı konularında da ilgili kişiyi bilgilendirmediği, kişisel verileri yurt dışına aktarılıyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • İlgili kişinin özel nitelikli kişisel verilerinin işlenip işlenmediğinin de veri sorumlusunun İstanbul İrtibat Bürosu tarafından ilgili kişiye bildirilmediği, eğer özel nitelikli kişisel verileri işleniyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; “Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek Kanun’un 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği,
  • İlgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı,
  • Bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediği

hususları bildirilmiş olup, veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin taleplerini yerine getirerek belirtilen hususlarda açıklama yapmasının ve hukuka aykırılıkların giderilmesinin sağlanması ile veri sorumlusunun İstanbul İrtibat Bürosu’nun Kanun’un amir hükümlerine istinaden cezalandırılması talep edilmiştir.

Bu kapsamda, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve Kanun’un “Kapsam” başlıklı 2’nci maddesi uyarınca Kanun hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınmış ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir. Akabinde, başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Londra’da mukim olan veri sorumlusu bünyesinde çalışmaya başladığı ve 01/10/2020 tarihinde veri sorumlusunun İstanbul’da açılan irtibat ofisinde görevlendirildiği,
  • Kurulun “yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkındaki görüş talebi” hakkında verdiği 23/07/2019 tarihli ve 2019/225 sayılı karar ile yasal mevzuat göz önünde bulundurulduğunda, yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının veri sorumlusuna ait yükümlülüklerinin bulunmadığının ve veri sorumlusu olarak gerekli yükümlülüklerin yurtdışında yerleşik tüzel kişilik tarafından yerine getirilmesi gerektiğinin ortada olduğu,
  • Bu doğrultuda, veri sorumlusu tarafından ilgili kişiye veri sorumlusunun “Veri Koruma Politikası” çerçevesinde bilgilendirmede bulunulduğu, “İşçiler ve Taşeronlar için GDPR Gizlilik Bildirgesi” imzalatıldığı ve GDPR ile uygulanabilir tüm yasal mevzuat kapsamında gerekli her türlü yükümlülüğün yerine getirildiği, 
  • İlgili kişinin veri sorumlusu ile olan iş ilişkisinin devamı esnasında tüm dünyayı etkisi altına alan COVID-19 virüsünün ortaya çıktığı pandemi döneminde Türkiye Cumhuriyeti’nin yasal mevzuatının uygun gördüğü şekilde ücretsiz izne çıkarıldığı, bu yüzden ilgili kişinin iddia ettiğinin aksine ilgili kişi ile veri sorumlusu arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediği, buna dair hiçbir geçerli ve hukuki delilin de bulunmadığı,
  • İlgili kişinin iş sözleşmesinin 01/07/2021 tarihinde kendisine gönderilen Fesih Bildirimi ile sona erdirildiği, ilgili kişinin avukatı tarafından veri sorumlusuna gönderilen 01/07/2021 tarihli e-postada da iş ilişkisinin daha önceki bir tarihte sonlandırılmamış olduğunun ikrar edildiği,
  • İlgili kişinin veri sorumlusu ile aralarındaki iş sözleşmesinin eylemli fesih yoluyla sona erdirildiğini iddia etmesine rağmen 01/07/2021 tarihli Fesih Bildirimi’ni beklediği ve Fesih Bildirimi’nin kendisine tebliğinden hemen sonra başka bir firmanın internet sitesine fotoğrafının koyulduğu, bunun da ilgili kişinin veri sorumlusu ile arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediğinin farkında olduğunu gösterdiği, 
  • İlgili kişinin fesih eyleminin bir an önce gerçekleşmesi konusundaki ısrarının diğer firmanın internet sitesinde yer almak için sabırsızlanmasından kaynaklandığı, ilgili kişinin haksız ve hukuka aykırı taleplerinin veri sorumlusunca kabul edilmemesinden dolayı öç alma güdüsüyle inceleme konusu şikâyeti yaptığı, 
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
  • Bu çerçevede, veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca iş sözleşmesinin ifasına ilişkin kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince hukuka uygun olarak işlendiği,
  • İlgili kişinin iş sözleşmesinin sona erdirilmesinin akabinde, ilgili kişinin özlük dosyasında bulunan bilgilerin gelecekte veri sorumlusu aleyhine açılma ihtimali olan davalarda ispat kolaylığı sağlayacağından ötürü meşru menfaat çerçevesinde saklanmakta olduğu ve bu bilgilerin hiçbir üçüncü şahısla paylaşılmadığı, bunun dışında iş sözleşmesinin sona erdirilmesi ile ilgili kişiye ait diğer kişisel bilgilerin veri sorumlusu tarafından silindiği ve yok edildiği,
  • Netice olarak, veri sorumlusunun İngiltere sınırları içerisinde tabi olduğu GDPR ve uygulanabilir yasal mevzuat uyarınca ilgili kişinin kişisel verilerinin hukuka uygun işlendiği, ilgili kişi ile veri sorumlusu arasındaki iş ilişkisinin sona ermesinin ardından ilgili kişinin kişisel verilerinin mümkün olduğunca yok edildiği ve silindiği, ilgili kişinin şikâyet ettiği hususların haksız ve mesnetsiz olduğu, veri sorumlusunun tüm yükümlülüklerini yerine getirdiği 

ifade edilmiştir.

İlgili kişinin şikâyetinde yer alan iddialar ile veri sorumlusunun savunması birlikte incelenmiş olup, görülen lüzum üzerine “ilgili kişi ile veri sorumlusu arasındaki iş ilişkisin başladığı yer ve tarihi”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişinin hangi kişisel verilerinin işlendiği ve bu işleme faaliyetinin amacı/amaçları ve hukuki sebebi/sebepleri”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişiye yönelik yürütülen kişisel veri işleme faaliyetleri kapsamında, ilgili kişiye Kanun’un 10’uncu maddesi gereğince aydınlatma yapılıp yapılmadığı”, “ilgili kişinin veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılıp aktarılmadığı ve eğer aktarılmışsa aktarımın hukuki sebebi/sebepleri”, “ilgili kişinin kişisel verilerinin veri sorumlusuna ait kurumsal internet sitesinde yayınlanıp yayınlanmadığı ve eğer yayınlandıysa hangi kişisel verilerin hangi tarihler arasında, hangi hukuki sebebe/sebeplere dayanılarak yayınlandığı” hususlarının açıklığa kavuşturulması veri sorumlusundan istenmiştir.

Açıklığa kavuşturulması istenen hususlara dair veri sorumlusunca iletilen yazıda ise özetle;

  • Veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde, ilgili kişinin adının, soyadının, telefon numarasının, e-posta adresinin, adresinin ve özlük dosyasında bulunan bilgilerin Türkiye’de faaliyet gösteren binlerce işverenin milyonlarca çalışanına yaptığı gibi işlendiği, bu kişisel verilerin işlenme amacının veri sorumlusunun ilgili kişi ile olan istihdam ilişkisinin yürütülmesini sağlamak ve veri sorumlusunun işveren olarak yükümlülüklerini yerine getirmekten ibaret olduğu,
  • Veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında, ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince iş sözleşmesinin ifası çerçevesinde gerekli kişisel verilerin Kanun’a uygun olarak işlendiği,
  • İlgili kişinin İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin veri sorumlusu haricinde yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılmadığı,
  • İlgili kişinin adının, soyadının ve fotoğrafının veri sorumlusuna ait İngiltere’de bulunan merkez ofisin yönetimindeki kurumsal internet sitesinde iş ilişkisinin devamı süresince yayınlandığı, veri sorumlusunun İstanbul İrtibat Bürosu tarafından kullanılan herhangi bir internet sitesinin bulunmadığı, söz konusu bilgilerin iş akdinin feshi itibarıyla derhal internet sitesinden kaldırıldığı ve veri sorumlusu bünyesinden silindiği, ilgili kişiye veri sorumlusu tarafından imzalatılan onay formunun ekte sunulduğu

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1218 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde ise “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmüne yer verildiği,
  • Ek olarak, ilgili kişilerin hakları Kanun’un 11’inci maddesinin; 

“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; 
a) Kişisel veri işlenip işlenmediğini öğrenme, 
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.” denmek suretiyle düzenlendiği,

  •  Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adının ve soyadının, telefon numarasının, e-posta adresinin, adresinin, fotoğrafının ve özlük dosyasında bulunan bilgilerin ilgili kişinin kimliğini belirli veya belirlenebilir kılmaları nedeniyle kişisel veri niteliğini haiz oldukları, bu yüzden ilgili kişiye ait bahsi geçen kişisel verilerin veri sorumlusu tarafından elde edilmesi, depolanması, kullanılması, yayınlanması vb. fiillerin de Kanun kapsamında birer kişisel veri işleme faaliyeti teşkil ettiği ve böyle faaliyetlerin hem Kanun’da düzenlenen hukuki sebeplere dayanılarak hem de yine Kanun’da yer alan genel ilkelere uygun bir şekilde yürütülmesi gerektiği hususlarında herhangi bir şüphenin bulunmadığı,
  • •İlgili kişinin Kanun’un 11’inci maddesinde düzenlenen haklarına ilişkin olarak Kanun’un 13’üncü maddesine istinaden veri sorumlusuna yapmış olduğu başvurunun, Kanun’un yine 13’üncü maddesinde düzenlendiği şekilde veri sorumlusunca cevaplanması gerektiği,
  • İlgili kişi tarafından yapılan şikâyetin “veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği”, “veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” ve “ilgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki üç iddia üzerine yoğunlaştığı, bu yüzden inceleme konusu şikâyetin ilgili kişinin iddialarının yoğunlaştığı üç başlık altında değerlendirilmesinin yerinde olacağı,

“Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından: 

  • Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca bilgi verilmesinin bir yükümlülük olduğu,  söz konusu yükümlülük kapsamında uyulacak usul ve esasların belirlenmesi amacıyla çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde, ilgili kişilere yapılacak bilgilendirmenin asgari olarak Kanun’un 10’uncu maddesinde de sayılan beş hususu içermesi gerektiğinin hükme bağlandığı, “Usul ve Esaslar” başlıklı 5’inci maddesinde ise veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esasların düzenlendiği, 
  • Anılan mevzuat hükümleri uyarınca, ilgili kişiler hakkında yürütülen ve Kanun hükümlerinin uygulama alanı bulacağı kişisel veri işleme faaliyetleri kapsamında -kişisel verilerin elde edilmesi sırasında- veri sorumluları tarafından ilgili kişilere Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak bilgilendirmede bulunulması gerektiği,
  • Hâl böyle olmakla birlikte, dosyaya sunulan bilgi ve belgelerden; ilgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,

“Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” yönündeki iddia bakımından: 

  • İlgili kişi ile veri sorumlusu arasındaki iş ilişkisinin ne zaman sona erdiği hususunda taraflar arasında bir uyuşmazlık olduğu (İlgili kişi veri sorumlusu ile olan iş ilişkisinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiğinden bahsederken, veri sorumlusu tarafından ilgili kişi ile olan iş ilişkisinin bitiş tarihinin 01/07/2021 olarak bildirildiği), 
  • Taraflar arasında ilgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde Nisan 2021 öncesini kapsayan zaman diliminde yayınlanması konusunda herhangi bir ihtilafın bulunmadığı, 
  • Kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanabilmesi için ilgili kişi tarafından başlangıçta bir açık rıza verilip verilmediği dosya kapsamına sunulan bilgi ve belgelerden tam olarak anlaşılamasa da, söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında düzenlendiği şekliyle “açık rıza” olduğunun kabulü halinde, ilgili kişinin veri sorumlusuna ilettiği 26/05/2021 tarihli İhtarname’den sonra verilen açık rızanın geri alındığının da kabul edilmesinin gerektiği,
  • İlgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanmasının mümkün olabileceği, ancak bu hukuki sebebe dayanılabilmesi için -somut olay özelinde tespit edilecek- veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olmasının gerektiği, 
  • Somut olayda, ticari hayatta meşru bir şirket olarak faaliyet gösteren veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu ve bu ofiste kariyerli/yetkin kişilerin çalıştığını veya en azından kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceği ve böyle bir açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceği, 
  • Taraflar arasındaki iş ilişkisinin -ilgili kişinin iddia ettiği gibi- Nisan 2021 itibarıyla sona erdiğinin kabul edilmesi halinde ise, ilgili kişinin kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, mevcut iş ilişkisinin bitmesi sonrasında yeni iş arayışlarına girmesi noktasında ilgili kişinin Türkiye Cumhuriyeti Anayasası’nın 48’inci maddesinde düzenlenen “Çalışma ve sözleşme hürriyeti”ne zarar verebileceği ve ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağının savunulabileceği, zira iş aradığı sırada halen bir yerde çalışıyor görünen ilgili kişinin yapacağı iş başvurularının bu durumdan olumsuz etkilenmesinin ihtimal dâhilinde olduğu, 
  • Buna karşın, dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği, ilgili kişinin Nisan 2021 ile Temmuz 2021 arasını kapsayan dönemde mevzuatın veri sorumlusuna Covid-19 salgınının ortaya çıkardığı şartlardan ötürü geçici olarak tanıdığı bir hak sayesinde alınabilen tek taraflı bir kararla ücretsiz izne çıkarıldığının anlaşıldığı ve mevzuattan kaynaklanan böyle bir durumda ilgili kişinin iş sözleşmesinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiği iddiasının kabulünün mümkün görünmediği,
  • Neticede, ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı,

“İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından: 

  • Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinde ilgili kişilerin Kanun’un uygulanmasıyla bağlantılı olarak veri sorumlularına yapacakları başvuruların usul ve esaslarının ana hatlarıyla düzenlendiği, 
  • Bununla birlikte, veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi halinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmış olan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5’inci maddesinde “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” ifadesine, “Başvuruya cevap” başlıklı 6’ncı maddesinde ise “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” ifadesine yer verildiği,
  • İlgili kişinin Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesi uyarınca veri sorumlusuna yaptığı başvurunun, veri sorumlusu tarafından Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin 26/05/2021 tarihli başvurusuna cevaben iletilen 07/06/2021 tarihli e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı,
  • Dolayısıyla, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağı

değerlendirmelerinden hareketle;

  • İlgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına,
  • Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine,
  • İlgili kişiler tarafından kendisine Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası”
Karar Tarihi : 02/12/2021
Karar No : 2021/1217
Konu Özeti : İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapılması

Kuruma yapılan şikâyette özetle;

  • “Veri sorumlusu” ve “hizmet sağlayıcı” sıfatlarını haiz olan bir medya şirketinin televizyon kanalının Ana Haber programında ilgili kişi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri dâhilinde ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi anne hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı, 
  • Söz konusu yayına ilişkin olarak medya şirketine yapılan başvuruda 6698 sayılı Kanun’un 11’inci maddesi uyarınca Ana Haber programında yer verilen kişisel verilerin yok edilmesinin, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesinin ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğranılan zararların giderilmesinin talep edildiği,
  • Başvuruya konu Ana Haber programında, ilgili kişinin ve çocuğunun fotoğrafları kullanılarak ilgili kişinin ilk evliliğinden bir oğlunun ve bir kızının olduğu, altı yıldır da başkası ile evli olduğu ve ilk evliliğinden olan oğlunun ilgili kişiyi bıçakladığı, bıçak darbelerinden birinin ilgili kişinin kalbine geldiği, ilgili kişinin yaşam savaşı verdiği, cani evladın ise tutuklandığı ifadelerini içeren yayının yapıldığı,
  • İlgili kişinin habere konu olayın geçtiği ilde ikamet etmediği, eşinden de boşanmadığı, ayrıca bıçaklanmasının da söz konusu olmadığı, dolayısıyla habere konu olayın da ilgili kişi ve çocuğu hakkında olmadığı, gerçeğe aykırı haber yapılırken ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu,
  • Hukuka aykırı olarak kullanılan fotoğrafla yapılan haber nedeniyle 5237 sayılı Türk Ceza Kanunu’nun 132 ila 138’inci maddelerinde düzenlenen suçların işlendiğinden bahisle Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu,
  • Konuya ilişkin olarak medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediği

hususları bildirilmiş olup; kişisel veri niteliğindeki fotoğrafın ve kimlik bilgilerinin kullanılması, yayılması ve ifşa edilmesi suretiyle 6698 sayılı Kanun’a aykırı hareket edildiğinden bahisle ilgili kişi tarafından bahsi geçen kişisel verilerin imha edilmesi, uğranılan zararların giderilmesi, ayrıca medya şirketi hakkında idari ve cezai yaptırım uygulanmasına karar verilmesi talep edilmiştir. 

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde medya şirketinden savunması istenilmiş olup, verilen cevapta özetle;

  • Kendilerinin 6112 sayılı Radyo ve Televizyonların Kuruluş ve Yayın Hizmetleri Hakkında Kanun (6112 sayılı Kanun) kapsamında kurulmuş, özel televizyon yayıncılığı alanında faaliyet gösteren, yayınları ve faaliyetleri 6112 sayılı Kanun’da belirlenen kurallara, yayın ilkelerine ve Radyo ve Televizyon Üst Kurulu (RTÜK) denetimine tabi bir şirket oldukları,
  • Yayınlanan haberlere ilişkin düzeltme ve cevap metinlerinin 6112 sayılı Kanun’un “Düzeltme ve cevap hakkı” başlıklı 18’inci maddesi uyarınca değerlendirildiği, gerçek ve tüzel kişiler tarafından iletilen metinde düzeltme yapılması gerekirse ya da hukuken geçerli bir talep olmadığı kanaatine varılırsa yayın kuruluşunun metni yayınlamak zorunda olmadığı, bu durumda ilgilisinin yayın için gerekli sürenin bitiminden sonra süresi içerisinde görevli yargı merciine başvuracağı ve yayıncı kuruluşun ancak hakkında alınan cevap ve düzeltme metninin yayınına dair kesinleşmiş yargı kararından itibaren yedi gün içinde kararın gereğini yerine getirmek zorunda olduğu, aksinin RTÜK denetimi ve yaptırımı sonucunu doğuracağı,
  • 6112 sayılı Kanun’un ilgili hükümleri gereğince yayınlanmasına kesin olarak karar verilmiş olan cevap ve düzeltme metninin yayınlanmaması halinde yayın kuruluşlarına RTÜK tarafından idari yaptırım uygulandığı,
  • 6112 sayılı Kanun’un 18’inci maddesi uyarınca ihtarname üzerine cevap ve düzeltme metninin yayınlanmasının zorunlu olmadığı, aynı zamanda ilgili kişilerin ihtarname düzenlenmeksizin doğrudan genel yargı yoluna müracaat ederek bu haklarını kullanmalarının da mümkün olduğu, bu konuda esas yetkinin genel yargıda olduğu,
  • Dosya kapsamında medya kuruluşuna çekilen ihtarname ekinde yer alan cevap ve düzeltme metninin yetkililerince incelendiği, metnin toplumu yanıltacak şekilde düzenlendiği kanaatine varılmasından ve 6112 sayılı Kanun gereğince metin üzerinde değişiklik yapılamayacağından dolayı yayınlanmaması kararının alındığı,
  • Cevap ve düzeltme metninin yayınlanmamasına dair kararın hukuki gerekçelerinin bulunduğu, zira haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğunun ve o aşamada yapılabilecek bir araştırmanın da bulunmadığının anlaşıldığı,
  • Haber içeriğinde ne mağdur kadının ne de başka herhangi bir şahsın şeref ve haysiyetine veya kişilik haklarına saldırı teşkil edecek bir ifade veya yorumda bulunulmadığı, hatta haber ajanslarının mağdur kadın hakkında verdikleri detaylara dahi haberde yer verilmediği,
  • Haberi yayınlayan muhabirin olay yerine gidip ilgililerle ve faili yakalayan emniyet mensuplarıyla görüştüğü, mağdur kadının eşi de dâhil olmak üzere görüşülen kişilerden alınan bilgi ve teyit üzerine yayınlanan haberde ilgili kişiye ve çocuğuna ait olduğu bildirilen fotoğrafların tamamen yüzleri kapatılarak izleyicilere sunulduğu,
  • Haberde ilgili kişinin eşinin ve çocuğunun adlarının hiç geçmediği, ilgili kişi ile habere konu mağdur kadının isim ve soy isim benzerliği ile bilginin olay hakkında görüşülen emniyet mensuplarından alınması ve fotoğrafın teyidi karşısında esasen bu konuda kendilerine atfedilebilir bir kusurun bulunmadığı,
  • Kendilerine iletilen Kurum yazısında özetlenen şikâyet dilekçesi kapsamında haberdeki fotoğrafın herkese açık olduğu anlaşılan Facebook sayfasında yer aldığının ifade edildiği, bu yüzden söz konusu fotoğrafın kanuna aykırı bir şekilde elde edilmediğinin veya gizli bir veri olmadığının açık olduğu, kaldı ki fotoğrafların tamamen kapatılarak yayınlandığı, 
  • Mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği, buna rağmen gerek annenin gerekse oğlunun yüzlerinin tamamen kapatılarak yayınlandığı,
  • Orta düzeyde bir izleyicinin haberde yer alan fotoğraftaki kişinin talepte bulunan kişiye ait olduğunu anlamasının mümkün olmadığı, ayrıca olayın ilgili kişilerin ikamet etmedikleri bir ilde gerçekleşmiş olmasından ve olayın failinin açık kimliğinin ve görüntülerinin de haberde yer almasından dolayı şikâyetçilerin habere konu kişiler olduğu sonucuna varılamayacağının açık olduğu,
  • Bir an için haberde yer alan fotoğrafın talepte bulunana ait olduğu sadece kendisini tanıyanlar tarafından anlaşılsa dahi bunun isim benzerliğine dayanan bir hatadan kaynaklandığının da hemen anlaşılacağı, nitekim mezkûr olayın gerçekleştiği yerin açık bir şekilde haberde yer aldığı ve fotoğrafların blurlanmış/buzlanmış şekilde yayında gösterildiği, 
  • Haberin içeriğinde yer verilen hiçbir unsurun şikâyetçilerin şeref ve haysiyetini ihlal eder nitelikte olmadığı, habere konu olayın tamamen gerçek olduğu, haberdeki tek hatanın mağdur kadının ismi ile olan benzerlik nedeniyle ilgili kişinin isminin bir kez haberde yer alması ve bu isimle muhabirlerine verilen fotoğrafların yüzleri tamamen kapatılarak haberde yer alması olduğu, 
  • Dolayısıyla, şikâyetçilerce “medya şirketi tarafından yalan ve yanlış bir haber yayınlanmış, olayın gerçekleştiği ilde bir oğul annesini bıçaklamamış gibi” hazırlanan cevap ve düzeltme metni üzerinde herhangi bir düzeltme yapılmasına imkân bulunmadığından yasal yollar tüketilmeden gönderilen metnin yayınlanmaması kararı alınmasının tamamen haklı ve hukuka uygun olduğu,
  • Ancak şikâyetçinin RTÜK yerine doğrudan genel yargı yoluna başvurduğu ve mahkeme kararı üzerine süresi içerisinde cevap ve düzeltme metnini yayınladıkları, bu noktada Kişisel Verileri Koruma Kuruluna (Kurul) şikâyetin cevap ve düzeltme metninin yayınlanmasından sonra yapıldığının dikkat çekici olduğu,
  • Cevap ve düzeltme metninin yayınlanmasıyla birlikte haber yayınındaki verilere ilişkin hatanın düzeltildiği ve bu düzeltmenin üçüncü kişilere yani ilk yayının ulaştığı izleyicilere bildiriminin tamamlandığının vakıa olduğu, 
  • Yayın kayıtlarını silmelerinin, yok etmelerinin veya üzerinde düzeltme yapmalarının tabi oldukları 6112 sayılı Kanun kapsamında mümkün olmadığı, zira 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesi gereğince yaptıkları her yayının kaydını bir yıl süreyle muhafaza etmekle yükümlü oldukları, 
  • Bu bakımdan haberdeki yüzleri kapatılmış fotoğrafın ve sadece bir kez geçen ismin silinmesine yönelik talebin kabulünün 6112 sayılı Kanun kapsamında bir yıldan önce mümkün olmadığı, ayrıca 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesinin son fıkrasında da “Yayının herhangi bir şekilde soruşturma veya kovuşturma konusu yapılması halinde, bu işlemlerin sonuçlandığının yetkili mercilerce ilgili medya hizmet sağlayıcı kuruluşa yazılı olarak bildirilmesine kadar soruşturma veya kovuşturma konusu yayın kaydının saklanması zorunludur.” denildiği,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasında yazılı basın ve televizyon faaliyetlerini de içine alan ifade özgürlüğü kapsamında kişisel verilerin işlenmesinin 6698 sayılı Kanun hükümlerinin uygulanması hususunda tam bir istisna hali olarak düzenlendiği,
  • Anayasa’nın 26’ncı maddesinin de “Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet Resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar. (…) Bu hürriyetlerin kullanılması, millî güvenlik, kamu düzeni, (…), başkalarının şöhret veya haklarının, özel ve aile hayatlarının yahut kanunun öngördüğü meslek sırlarının korunması veya yargılama görevinin gereğine uygun olarak yerine getirilmesi amaçlarıyla sınırlanabilir.” hükmünü içerdiği,
  • Haber bültenlerinin kuşkusuz 6698 sayılı Kanun’un 28’inci maddesinde sayılan istisna kapsamına girdikleri, bu bakımdan yayınlanan haberin Anayasa’nın 26’ncı maddesi uyarınca güvence altına alınan “basın hürriyeti” ve “kamunun haber alma hakkı” kapsamında değerlendirilmesi gerektiği,
  • İfade özgürlüğü ve basın hürriyetinin değerlendirmesi yapılırken ifade özgürlüğünü ve basın hürriyetini düzenleyen Anayasa’nın ilgili maddelerinin, taraf olduğumuz uluslararası sözleşmelerin, basın özgürlüğünün sınırlarına ilişkin Avrupa İnsan Hakları Mahkemesinin (“AİHM”) yerleşik içtihatlarının ve kriterlerinin dikkate alınmasının zorunlu olduğu, 
  • Yargıtay ve doktrinde istikrar bulmuş görüşler uyarınca bir haberin ifade özgürlüğü kapsamında haber niteliği taşıyabilmesinin belirli bazı koşullara bağlı olduğu, bunların “haberin (1) gerçek olması, (2) güncel olması, (3) verilişinde kamusal ilgi ve yararın bulunması, (4) düşünce ve ifade arasında düşünsel bağ bulunması” şeklinde belirlendiği, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da 6698 sayılı Kanun’un 28’inci maddesinde istisna olarak kabul edilen ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde “haberin; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, özü ile biçimi arasındaki denge” kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiğinin vurgulandığı,
  • Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararında basın özgürlüğü ve toplumun bilgiye ulaşma hakkının önemine vurgu yapılarak yarışan haklar arasındaki dengenin somut olay özelinde değerlendirilmesi gerektiğinin belirtildiği,
  • Keza Yargıtay 4. Hukuk Dairesinin 2016/5516 E., 2016/8275 K. ve 23/06/2016 tarihli kararında da basın özgürlüğü ile kişilik hakları çatışmasında izlenecek yol ve kriterler belirlenirken kamusal yarar kapsamında basın özgürlüğüne üstünlük tanınması gerekeceğinin “(…) O anda ve görünürde var olup da sonradan gerçek olmadığı anlaşılan olayların yayınından da basın sorumlu tutulmamalıdır.” açıklamaları ile vurgulandığı,
  • Yine Yargıtay 4. Hukuk Dairesinin 17/05/1999 tarihli ve 2683 E., 4551 K. sayılı hükmünde de “Hukuka uygunluk nedenlerinde, korunan kişinin (o an için) korunmakta ya bir çıkarı yoktur ya da korunan çıkar karşısında yer alan ve onunla çatışan değer daha üstünlük taşımaktadır. Bunun sonucunda da, daha az üstün yarar, daha çok üstün olanı karşısında, hukuk düzenince çiğnenmesi uygun görülmektedir. Böylece ya ‘çıkar eksikliği veya yokluğuna dayanan hukuka uygunluk’ ya da ‘çıkar üstünlüğüne dayanan hukuka uygunluk’ söz konusu olmaktadır.” vurgusunun yapıldığı,
  • Avrupa Birliği Adalet Divanının (ABAD) bir kararında da, demokratik toplumda ifade özgürlüğünün önemli olduğunun, geniş yorumlanması gerektiğinin, kişisel verilerin korunması hakkı ile ifade özgürlüğü arasındaki dengede kişisel verilerin korunması hakkının istisnalarının ve sınırlamaların zaruri olduğu kadarının uygulanması gerektiğinin belirtildiği, bu bakımdan 6698 sayılı Kanun’un 28’inci maddesinde ifade özgürlüğüne tam istisna tanınmasında büyük bir isabet bulunduğu konusunda bir kuşkunun olmadığı,
  • Her ne kadar 6698 sayılı Kanun özel bir usulle ve idari yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de somut olay özelinde olduğu gibi 6112 sayılı Kanun, Türk Medeni Kanunu ve daha pek çok kanunda yer alan düzenlemelerin ilgili kişileri koruyucu hükümler ve yaptırımlar içerdiği, dolayısıyla 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisna nedeniyle kişilerin korumasız kaldığı sonucunun da doğmadığı,
  • Nitekim somut olayda şikâyetçilerin 6112 sayılı Kanun’un 18’inci maddesi uyarınca genel yargı yerine müracaat ettikleri ve verilen yargı kararıyla hatanın düzeltilmesini, bu şekilde de iddia olunan zararlarının giderilmesini temin ettikleri, 
  • Şikâyetçilerin lehlerine kesin karar almalarına karşın Kuruma aynı taleplerle şikâyette bulunmalarının hukuken himaye edilemeyeceği, yargıya müracaat ile taleplerini karşılamış olan şikâyetçilerin varsa başkaca hakları bunu yine genel yargı yoluna müracaat ile sağlamaları gerekirken yargı yerine Kurul eliyle kendilerine menfaat sağlamak istemelerinin yargı denetiminden kaçınılması ve hakkın kötüye kullanılması mahiyetinde olduğu,
  • 6698 sayılı Kanun özel bir usulle ve yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de 6112 sayılı Kanun’un da aynı amacı güden düzenlemeler içerdiği, kendilerinin yayınları üzerinde denetim yetkisinin de esasen özel yasa ile RTÜK’e verildiği ama cevap ve düzeltme metni yayınlanıp konu hakkında RTÜK’e bilgi verilmesine rağmen mezkûr yayın hakkında RTÜK tarafından herhangi bir işlem tesis edilmediği, bununla birlikte RTÜK’ün dahi zarar tazmini gibi maddi konuların genel yargı tarafından çözülmesi gerektiğini kabul ettiği ve bu tür müracaatlara bu gerekçelerle olumsuz cevap verdiği, 
  • Tüm açıklamaların ve sunulan kanıtların şikâyet konusu yayın hakkında genel yargı yoluna müracaat edildiğini ve şikâyetçilerin kendi haklarını koruyabilme imkânına sahip olduklarını gösterdiği, 
  • Detaylı olarak açıklandığı üzere, şikâyete konu haberinin içerik olarak tamamen gerçeğe uygun olduğu, ayrıca yayınlanmasında kamu yararı bulunan güncel bir olayın özle biçim arasındaki denge bozulmaksızın haber konusu edildiği, ne var ki emniyet kaynaklı ve isim benzerliğine dayalı bir hatanın -herkese açık bir yerden elde edilen fotoğraf haberde tamamen yüzleri kapatılarak yayınlanmış olsa da- şikâyete konu olduğu, ancak cevap ve düzeltme metninin yayınlanması ile hatanın telafi edildiğinin de vakıa olduğu, zira inceleme konusu açısından kişisel verilerin aktarıldığı üçüncü kişiler olan izleyicilere bildirimin yapıldığı ve uğranılan bir zarar varsa bunun da giderildiği,
  • Düzenlenen ihtarnamede her ne kadar 6698 sayılı Kanun’un 11’inci maddesi uyarınca kişisel verilerin yok edilmesi talep edilse de şikâyetçilerin kişisel veri olarak belirttiği hususlar ile haber kaydının en az bir yıl süreyle tutulmasının 6112 sayılı Kanun’un ilgili hükümleri nedeniyle zorunlu olduğu, dolayısıyla bu konudaki talebin yerine getirilmesinin şu an için mümkün olmadığı,
  • Görüleceği üzere, somut olayda genel bir kanun olan 6698 sayılı Kanun ile özel bir kanun olan 6112 sayılı Kanun arasında bir çatışmanın da söz konusu olduğu, ancak şikâyet konusu haber hakkında 6698 sayılı Kanun’un uygulama alanı bulamayacağı ve bu durumun da 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisnanın isabetinin bir kez daha tezahürü olarak kabul edilmesi gerektiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1217 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altın alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinde ise 6698 sayılı Kanun’un hiçbir hükmünün uygulanmayacağı “tam istisna halleri” ile 6698 sayılı Kanun’un belli hükümlerinin uygulanmayacağı “kısmî istisna halleri”nin düzenlendiği,
  • Dosyaya sunulan bilgi ve belgeler, 6698 sayılı Kanun’un 1, 2, 3, 4, 5, 6 ve 8’inci madde hükümleri ışığında ele alındığında; ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve çocuğuna ait bir fotoğrafın adı geçen kişilerin kimliklerini belirli veya belirlenebilir kılmaları nedeniyle “kişisel veri” niteliğini haiz olacakları, ayrıca ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve 6698 sayılı Kanun hükümleri dâhilinde ilgili kişi sıfatını haiz olan ilgili kişinin çocuğuna ait fotoğrafın medya şirketi bünyesinde kayıt altına alma, depolama, yayınlama vb. fiillere konu edilmesinin 6698 sayılı Kanun uyarınca birer “kişisel veri işleme faaliyeti” teşkil edeceği, bahsi geçen kişisel veri işleme faaliyetlerini yürüten medya şirketinin 6698 sayılı Kanun önünde “veri sorumlusu” olacağı, bu durumda medya şirketi tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kanun’un 5’inci maddesinde yer alan şartlardan birine dayanarak ve 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun şekilde yürütülmesinin gerekeceği konularında herhangi bir şüphenin bulunmadığı,
  • İlgili kişilere ait fotoğrafın medya şirketi tarafından blurlanmak/buzlanmak suretiyle yayınlanmış olmasının somut olayda blurlanan/buzlanan fotoğraf ile “isim ve soy isim” gibi başka bilgilerin birleştirilmesi/eşleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ötürü mezkûr fotoğrafın kişisel veri niteliğini ortadan kaldırmadığı, zira ilgili kişinin haberde paylaşılan isim ve soy isim bilgileri ile arama motorlarından ve/veya –dosya kapsamına sunulan bilgi ve belgelerde belirtildiği üzere- Facebook adlı sosyal medya platformundan arama yapıldığında bu fotoğrafın blurlanmamış/buzlanmamış versiyonuna da erişimin mümkün olduğu, 
  • İlgili kişilerin haberde kullanılan fotoğrafının herkese açık olduğu anlaşılan Facebook sayfasında yer almasının (diğer bir deyişle alenileştirilmiş olmasının), bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği ve fotoğrafın işlenmesinin 6698 sayılı Kanun’da düzenlenen kişisel veri işleme şartlarına dayanması gerektiğinin açık olduğu, 6698 sayılı Kanun kapsamında “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu ve ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunduğu,
  • Tüm bunların yanı sıra; 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde 6698 sayılı Kanun hükümlerinin “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde uygulanmayacağının düzenlendiği, dolayısıyla inceleme konusu şikâyete esas haberden ibaret olan yayın faaliyetinin mezkûr hükmün kapsamına girip girmediğinin öncelikle değerlendirilmesi gerektiği, 
  • 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi düzenlemesinin kişisel verilerin işlendiği ve ifade özgürlüğü ile özel hayatın gizliliğinin veya kişilik haklarının çatıştığı hallerde haklar arasında bir denge testinin yapılmasını gerektirdiği ve sadece -yapılacak denge testinin ardından - çatışan haklar bakımından özel hayatın gizliliğinin veya kişilik haklarının ifade özgürlüğüne üstün geldiğinin anlaşıldığı durumların 6698 sayılı Kanun hükümlerine göre incelenip değerlendirilebileceği,
  • Bu çerçevede, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da belirtildiği üzere, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin; a) Kamu ilgi ve yararı taşıması, b) Gerçek ve güncel olması, c) Özü ile biçimi arasındaki denge, kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,
  • Haberin kamu ilgi ve yararı taşıyıp taşımadığının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin gerektiği,
  • Şikâyete esas haberin esasını oluşturan “bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, buna karşın kamuoyu nezdinde “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında inceleme konusu haberin “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu sonucuna ulaşıldığı,
  • Haberin gerçek ve güncel olması kapsamında; gerçekliğin habere konu edilen olayın gerçek olması anlamına geldiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği ve görünürdeki gerçekliğe uygun olarak yapılan haberlerden ötürü basının sorumlu tutulmamasının ihtimal dâhilinde olduğunun kabul edildiği,
  • Bahsi geçen “maddi gerçeklik” kavramının haber konusu olayın haberde zikredildiği şekliyle gerçekleşip gerçekleşmediğini nitelemekte olduğu, “görünürdeki gerçeklik” kavramının ise haberin verildiği anda ve görünürde var olan olgulara uygunluğunu ifade ettiği,
  • Diğer taraftan, bir haberin maddi gerçekliğe veya görünürdeki gerçekliğe uygun olup olmadığı konusunda bir değerlendirme yapılmadan önce, o habere konu bilgilerin gerçeğe uygun olup olmadığının araştırılması hususunda ilgili basın kuruluşu tarafından gereken her türlü dikkat ve özenin gösterilip gösterilmediğinin ele alınması gerektiği,
  • Zira haber yapılmadan önce ilgili basın kuruluşunca gereken her türlü dikkat ve özen gösterilmemişse, orada artık maddi gerçeklik veya görünürdeki gerçeklik tartışması yapılmasının herhangi bir fayda sağlamayacağı,
  • İnceleme konusu haber bu bilgiler ışığında ele alındığında; haberin dayandırıldığı olay örgüsünün gerçek olduğu ama bir bütün olarak bakıldığında haberin doğru/gerçek olmadığı, zira haberde mağdurun adının yanlış aktarıldığı ve olayla alakasız bir kişi konumunda olan ilgili kişinin çocuğu ile birlikte olduğu bir fotoğrafının blurlanarak/buzlanarak da olsa kullanıldığı, bunun da yapılan haber yayınlanmadan önce medya şirketi tarafından haber içeriğindeki unsurlarının doğruluğuna ilişkin gereken her türlü dikkat ve özenin gösterilmediğine işaret ettiği,
  • Medya şirketi “haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğu ve o aşamada yapılabilecek bir araştırmanın da bulunmadığı” yönünde bir savunma yapmış olsa da, yine medya şirketi tarafından Kuruma iletilen ve yapılan haberin kaynağı olarak gösterilen (İHA ve DHA haber ajanslarına ait) haberlerde mağdur kadının isminin doğru bir şekilde yazılmış olduğunun görüldüğü, 
  • Dolayısıyla, medya şirketince dikkatli ve özenli bir şekilde haber yapılmış olsa idi yapılan isim yanlışlığının en azından haberde görüntülerine yer verilen mağdur kadının eşinden teyit edilmek suretiyle düzeltilebileceğinin rahatlıkla söylenebileceği,
  • Medya şirketi “mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği” yönünde bir savunma beyanında bulunmuş olsa da bu beyanın tevsik edici herhangi bir belge ile desteklenemediği, böyle bir eksikliğin ise medya şirketinin söz konusu beyanının salt olarak sorumluluktan kurtulmak amacıyla ortaya atılmış olabileceği izlenimini uyandırdığı,
  • Zira medya şirketinin savunmasında bahsedildiği gibi bir “onay” işleminin mevcut olması durumunda, bahsi geçen onay işlemin işini dikkatli ve özenli yapan bir basın kuruluşu tarafından yazılı ve/veya görüntülü olarak kayıt altına alınmasının hayatın olağan akışına uygun olacağı ve haberin yapımı ve yayınlanması sürecini sekteye uğratacak ek bir külfet de getirmeyeceği,
  • Öte yandan, “haberin güncel olması” kriterinin somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayınlanmasında haber verme hakkından söz edilemeyeceğinin ve kişilik hakkına üstünlük tanınması gerekeceğinin savunulabileceği,
  • Bu kapsamda, somut olayda habere konu olayın haberleştirilmesinde kamu yararının bulunup bulunmadığının tartışmalı olduğu düşünülse de, habere konu olayın gerçekleşme tarihi ile haberin veriliş tarihi göz önüne alındığında haberin güncel olduğunun söylenebileceği,
  • Biçim ve öz arasındaki denge kriteri açısından; kullanılacak dil ve ifade ile yapılacak niteleme ve vurgunun haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının gerektiği (diğer bir deyişle, haberde kullanılan dil, ifade, resim/şekil/tablo ve fotoğrafların haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği),
  • Haber verilirken gerekli, yararlı ve ilgili olmayan içeriklerin kullanılmasının kişilik haklarına ölçüsüz müdahale anlamına gelebileceği, bu yüzden inceleme konusu haberin verilişinin –kullanılan fotoğrafların blurlanmış/buzlanmış olması nedeniyle- ölçülü olduğunun ilk bakışta savunulabileceği,
  • Ancak ilgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğunun kabul edilmesi gerektiği, ayrıca haberin biçimi açısından anılan fotoğrafların blurlanmış/buzlanmış şekilde de olsa ekrana yansıtılmasının gerekli olmadığının da savunulabileceği,
  • Yayınlanan bir haber kapsamında çatışan haklar konumundaki ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için zikredilen üç kriterin de aynı anda karşılanmasının gerektiği, ancak inceleme konusu şikâyetin dayandığı haber bakımından bahsi geçen kriterlerin tamamını karşılanmadığı,
  • Bu yüzden, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamayacağı,
  • Veri sorumlu medya şirketinin ilgili kişiler hakkında yürüttüğü kişisel veri işleme faaliyetinin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamamasından ötürü söz konusu kişisel veri işleme faaliyetinin 6698 sayılı Kanun hükümlerine uygun olması gerektiği,
  • Bununla birlikte, somut olayda veri sorumlusu tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetleri için 6698 sayılı Kanun’da düzenlenen herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun ise mezkûr kişisel veri işleme faaliyetini hukuka aykırı hale getirdiği,
  • 6698 sayılı Kanun’un “Kurula şikayet” başlıklı 14’üncü maddesinin (3) numaralı fıkrasındaki “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü, 6698 sayılı Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15’inci maddesindeki “(…) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikayetler incelemeye alınmaz. (…)” hükmü ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek dilekçeler” başlıklı 6’ncı maddesindeki “Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden; (…) b) Yargı mercilerinin görevine giren konularla ilgili olanlar, (…), incelenemezler.” düzenlemesi gereğince, ilgili kişilerin yargı mercilerinin görev alanına giren veri sorumlusundan tazminat talepleri konusunda Kurul tarafından yapılabilecek herhangi bir işlemin bulunmadığı, 
  • İnceleme konusu habere ilişkin olarak, bir yargı kararına istinaden veri sorumlusu tarafından süresi içerisinde cevap ve düzeltme metninin yayınlanması suretiyle yayının ilk ulaştığı izleyicilere haberde yapılan hata hakkında bildirimde bulunulmuş olmasının veri sorumlusu tarafından yürütülen hukuka aykırı kişisel veri işleme faaliyetini ortadan kaldırmayacağı,
  • İlgili kişiler tarafından Kurula yapılan şikâyetin, mahkeme kararına istinaden bir cevap ve düzeltme metninin yayınlanmasından sonra yapılmış olmasının konuya ilişkin olarak 6698 sayılı Kanun hükümleri uyarınca yapılacak müstakil değerlendirmeleri etkilemeyeceği

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği kanaatine varıldığından, veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlularınca hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğundan bahisle ilgili kişiler tarafından öne sürülebilecek maddi ve/veya manevi tazminat talepleri için adli makamlar nezdinde girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine

karar verilmiştir.

02.12.2021: “Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1214
Konu Özeti : Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Şikâyete ilişkin başlatılan inceleme çerçevesinde Bakanlıktan ve Üniversiteden konuya ilişkin bilgi ve belge talep edilmiş olup Bakanlık tarafından verilen cevapta özetle;

  • …… olarak görevlendirilecek kişilerin görevlerine başlamadan önce eğitim almalarının ve görev yaptıkları sürece eğitime tabi tutulmalarının sağlanacağının ilgili mevzuatta hüküm altına alındığı, şikâyet konusu olan eğitimin, üniversiteler tarafından verildiği, Bakanlık Genel Müdürlüğünün şartları haiz eğitim kuruluşlarına mevzuat uyarınca eğitim izni verdiği, dolayısıyla eğitim faaliyeti ve eğitimin düzenine ilişkin hususların eğitim kuruluşları tarafından yerine getirildiği, Bakanlık ile eğitim kuruluşları arasındaki ilişkinin ilgili yönetmelik hükümleri ile belirlendiği, 
  • Konuya ilişkin mevzuatta ancak eğitimini tamamlayanların mesleki sicile kayıt olabilmeleri için yazılı sınavda başarılı olmaları gerektiğinin düzenlendiği,
  • Eğitimlerinin etkin ve mevzuata uygun bir şekilde gerçekleştirilmesinin sağlanması amacıyla, ilgili mevzuat kapsamında, eğitim programlarının takibi, koordinasyonu ve denetimi için eğitim yönetim sistemi adlı bir yönetim paneli oluşturulduğu, eğitim kuruluşlarının, eğitimlerini mevzuatın gerektirdiği yükümlülüklere uygun bir şekilde gerçekleştirmek durumunda olduğu,
  • Bakanlığın söz konusu hususa ilişkin olarak, veri sorumlusu sıfatı ile sorumluluğunun bulunmadığı,
  • İlgili Yönetmelik kapsamında eğitime katılanların, belgeye dayalı ve eğitim kuruluşlarınca kabul edilen haklı bir mazeretleri olmadıkça eğitim süresince verilen ders ve çalışmalara katılımlarının zorunlu olduğu ve adayın eğitimi başarıyla tamamlamasının, mevzuatta öngörülen sürede eğitime katılmış olması şartını sağlamasına bağlı olduğu,
  • Eğitiminin başarıyla tamamlanmasının, sınav ve sicile kayıt başvurusu için bir ön şart olduğu, 
  • Sınav başvurusu ve şekline ilişkin usul ve esasların düzenlendiği Yönetmeliğin ilgili maddesi uyarınca ilgililer tarafından sınav müracaatında bulunulurken başvuruya T.C. kimlik numarası ve eğitimini tamamladığını gösteren katılım belgesi ile mezuniyet belgesi asılları veya onaylı suretlerinin eklenmesi gerektiğinin hüküm altına alındığı, bu çerçevede ilgilinin yazılı sınava girebilme hakkını taşıyıp taşımadığının Bakanlık tarafından incelendiği, başka bir ifade ile sınav başvurusunun adayın eğitimini başarıyla tamamlayıp tamamlamadığı ve öğrenim yönünden sınava girebilme şartlarını haiz olup olmadığı açısından değerlendirildiği,
  • Katılım belgesinin ise eğitimlerini başarı ile tamamlayan kişilere, eğitim kuruluşları tarafından düzenlenerek verildiği, Bakanlık tarafından, adayın, eğitimini başarıyla tamamlayıp tamamlamadığının ibraz ettiği bu katılım belgesi incelenerek denetlendiği, devam zorunluluğunu takip etme, aksi durumda eğitim programı ile ilişiğini kesme yükümlülüğünün ise Bakanlığa değil, eğitim kuruluşuna ait olduğu, bu nedenle ilgili mevzuat kapsamında adayların derslere devam durumunu gösteren çizelgenin eğitim kuruluşlarınca düzenlenmesi gerektiğinin hüküm altına alındığı,
  • Bakanlık tarafından sınava ve sicile başvuru esnasında devam çizelgesinin değil katılım belgesinin denetlendiği, ileride adayın devam durumuna ilişkin bir itirazının bulunması veya Bakanlığın aleyhine dava açılması ihtimallerine binaen, devam çizelgesinin bir örneğinin Bakanlığa gönderildiği, aslının ise eğitim kuruluşunda saklandığı, dolayısıyla devam çizelgesinin, sınav ve sicil başvurusu esnasında adayın eğitimini başarıyla tamamladığını gösteren ve Bakanlık tarafından incelemesi yapılan katılım belgesine dayanak teşkil eden bir belge niteliğinde olduğu,
  • Diğer yandan, ilgili kişinin Eğitim Merkezinin ilgili eğitim biriminin yoklama listelerini Bakanlık tarafından hazırlanan sistemden aldığı yönünde cevap verdiğine ilişkin beyanıyla ilgili olarak ise; Bakanlık tarafından eğitim kuruluşlarına adaylara ilişkin devam çizelgelerinin T.C. kimlik numaralarıyla birlikte imzalatılması ve sonrasında Bakanlığa gönderilmesi yönünde bir bildirimde bulunulmadığı gibi, hali hazırda devam çizelgesi hazırlama yükümlülüğünün de eğitim kuruluşunda olduğu,  eğitim yönetim sistemi panelinde çıkan listede yer alan T.C. kimlik numaralarına, bir grupta aynı ad ve soyadında birden fazla adayın bulunması halinde çıkabilecek ihtilafın önlenmesi amacıyla yer verildiği, eğitim kuruluşlarının ilgili mevzuatta öngörülen devam çizelgesini düzenlemeyip, eğitim yönetim sisteminde yer alan listeyi kullanmak istemesi durumunda ise çizelgeyi, gerekirse T.C. kimlik numaralarını çıkartmak veya elden ele dolaştırmayarak, adayın eğitmenin yanına gelerek imzasını atmasını sağlamak gibi yöntemlerle ikmal edebileceğinin izahtan vareste olduğu,
  • Öte yandan, ilgili kişinin Bakanlığa yaptığı başvurusuna Bakanlık tarafından cevap verildiği, ilgili kişinin başvurusuna cevap verilmediğine yönelik iddiasının gerçeği yansıtmadığı

ifade edilmiştir.

Üniversite tarafından verilen cevapta ise özetle;

  • Merkez bünyesinde eğitim alan katılımcıların kişisel verilerinin, Kanun’un 5’inci maddesinin (1) ve (2) numaralı fıkralarında yer alan maddelere dayanılarak işlendiği, 
  • Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, Sözleşme imzalandığı, ilgili mevzuat çerçevesinde katılımcıların devam durumlarını takip etmek üzere yoklama alma zorunluluğu bulunduğu, katılımcıların bu hususları kabul ederek eğitime katıldığı,
  • Yoklama listelerinin tamamının sınıf içerisinde ve her bir dersin sorumlu öğretim elemanının kontrolünde katılımcılara imzalatıldığı, yoklama listelerinin imzalatılmasının katılımcıların eğitime devam durumlarının kayıt altına alınabilmesi için kendilerinin hukuki yükümlülüğü olduğu,
  • Kişisel Verilerin Korunması Kanunu'nun 12’nci maddesi çerçevesinde Merkezin söz konusu eğitime ve katılımcılarına ilişkin bilgi ve belgeleri belirli yöntemlerle topladığı, uhdesinde güvenli olarak sakladığı ve Bakanlık dışında hiçbir şekilde üçüncü kişilerle paylaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde veri sorumlusu ve veri işleyen tanımlarına yer verilmekte olup “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Şikâyete konu olan eğitimin, üniversiteler tarafından verilebildiği ve bu eğitimin verilmesi sürecinde Bakanlığın izin, takip, koordinasyon ve denetim yönünden yetkili olduğu, eğitim faaliyeti ve eğitimin düzenine ilişkin hususların ise izin verilen eğitim kuruluşları tarafından belirlendiği ve yerine getirildiği, aynı zamanda bu hususlara ilişkin Bakanlık ile eğitim kuruluşları arasındaki ilişkinin yönetmelik hükümleri ile belirlendiği anlaşıldığından şikâyete konu olay çerçevesinde; Bakanlık ve Üniversitenin kişisel veri işleme faaliyeti alanları kapsamında ayrı ayrı veri sorumlusu olarak faaliyette bulunduğu,
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “ (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Üniversite tarafından ilgili kişinin başvurusuna cevap verildiği, fakat Bakanlık tarafından ilgili kişinin başvurusuna verilen cevabın Kanun’un 13’üncü maddesi uyarınca veri sorumlularına tanınan 30 günlük süre aşıldıktan sonra gerçekleştirildiğinin tespit edildiği,
  • Diğer taraftan, ilgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu, 
  • 6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hükmünü amir olduğu, 

  • Bu kapsamda ilgili kişinin eğitim hakkının gereği gibi yerine getirilmesi ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerinin işlenmesine ilişkin hukuki zemin irdelendiğinde; Bakanlığın söz konusu eğitim, sınav, görev ve sorumluluklar, denetim, eğitim verecek kişi, kurum ve kuruluşların nitelikleri ve denetimleri ile …. sicili, eğitim kurumlarının listelerinin düzenlenmesi, gibi hususlarda ilgili Kanun ile görevlendirildiğinin anlaşıldığı,  bu kapsamda ilgili Kanun ile görevlendirilen veri sorumlusu Bakanlığın, 6698 sayılı Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü çerçevesinde kişisel veri işleme faaliyetinde bulunduğunun değerlendirildiği,
  • Öte yandan, veri sorumlusu Üniversitenin ilgili Yönetmelikle kendisinden beklenen yükümlülüklerinin ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü ile (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü çerçevesinde işlediği, 
  • Diğer taraftan Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede kişisel verilerin ancak, 

a)    Hukuka ve dürüstlük kurallarına uygun şekilde, 
b)    Belirli, açık ve meşru amaçlar kapsamında, 
c)    Doğru ve gerektiğinde güncel olma şartıyla, 
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 

ilkelerine uygun olarak işlenebileceğinin belirlendiği, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi” uyarınca, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, kişisel verilerin açıkça yer almasının zorunluluk teşkil etmemesi halinde veri işlenirken maskeleme, anonimleştirme gibi yöntemlerin kullanılması gerektiği, 

  • Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
  • Ayrıca Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinin; “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü haiz olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin ilgili kişinin talebine bağlı olmadığı ve (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun belirtildiği,
  • Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde Kanun’un 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiği belirtilmiş ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları konularını içermesi gerektiğinin ifade edildiği,
  • Konuya ilişkin olarak Üniversiteden alınan yazıda; Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
  • Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,
  • İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine

karar verilmiştir.

25.11.2021: “Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi”
Karar Tarihi : 25/11/2021
Karar No : 2021/1187
Konu Özeti : Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; 

  • Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü,
  • Veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği,
  • İlgili kişinin 16.11.2020 tarihi itibariyle tek taraflı olarak iş akdini feshettiği, buna rağmen işveren sıfatını haiz olmadığı dönem de olmak üzere veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı,
  • Veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmadığı ve açık rıza metni sunulmadığı, 
  • Müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun "cloud" olduğu ve söz konusu Cloud'un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların "server"larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin Kanun'un 9'uncu maddesine uygun olarak gerçekleştirilmesi gerektiği,
  • İlgili kişinin şirket e-posta hesabının veri sorumlusu tarafından tahsis edilmiş olduğu, bu e-posta hesabına kimlerin erişim sağladığı belirli olmamakla birlikte, veri sorumlusu tarafından sunulan cevabi yazının içeriğinden, söz konusu verilerin şirket hissedarı ve şirket yetkilisi ile diğer bazı işyeri çalışanlarının erişime açık bir halde olduğunun anlaşıldığı,
  • Kanun’un 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edildiği 

ancak veri sorumlusu tarafından verilen cevabın maddi gerçekleri yansıtmadığı ve yetersiz görüldüğü hususları belirtilmiş ve Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişi ile veri sorumlusu arasındaki ihtilafın esasen Kanun’dan kaynaklanan bir sorun olmadığı,
  • Konunun işyerinde çalışan ve çalıştığı süre boyunca rakip firmalara iş kaydırarak işyerini ciddi şekilde zarar uğrattığı tespit edilen eski bir çalışan ile ciddi şekilde zarara uğrayan işveren arasında karşılıklı suçlama, talep ve davalarla devam etmekte olan hukuki bir ihtilaf olduğu, bu kapsamda ilgili kişi ile veri sorumlusu arasında süregelen sekiz adet dava ve ceza soruşturmasının bulunduğu,
  • İlgili kişinin, veri sorumlusu bünyesinde bilişim faaliyetleri alanında teknik nitelikli bir personel olarak çalışmaya başladığı ve iş akdini tek taraflı irade beyanı ile feshettiği,
  • İlgili kişiye ait yazışmaların söz konusu yargılama süreçlerine delil olarak sunulması nedeniyle, ilgili kişinin özel hayatını ilgilendiren şahsi e-posta içeriklerine veri sorumlusu tarafından hukuka aykırı olarak erişildiği ve Anayasa ile koruma altına alınan özel hayatın gizliliği ile haberleşme gizliliği hakkının ihlal edildiğinden bahisle veri sorumlusu ve veri sorumlusu şirket yetkilisi hakkında Başsavcılığa şikâyette bulunulduğu, ancak bu şikâyetin yürütülen soruşturma neticesinde kovuşturmaya yer olmadığına dair karar verilerek reddedildiği,
  • İlgili kişiye iş ilişkisi kapsamındaki kurumsal faaliyetlerde ve işin gerektiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, iş ilişkisi kapsamında çalışana tahsis edilmiş olan kurumsal e-posta hesaplarının sadece işin ifası amacı ile kullanılacağının açık olduğu, bu nedenle bilişim alanında uzman olarak çalışan bir personelin bu gerekliliğin bilincinde olması gerektiği, bu hususta ilgili kişiye ilave denetim kriterlerinin uygulanmasının hayatın olağan akışına aykırı olacağı ve ilgili kişinin kurumsal e-posta hesabını kullanmaması yönünde uyarılmasına ihtiyaç bulunmadığı,
  • Şikâyete konu e-posta hesabının veri sorumlusuna ait olduğu, e-posta hesabının ilgili kişinin ad ve soyadı ile başlasa da veri sorumlusunun ticaret unvanı ile devam eden uzantıya sahip olduğu, veri sorumlusuna ait olan ve sadece iş amacı ile personele verilen e-posta adreslerinin Kanun kapsamında kişisel veri olmadığı,
  • İlgili kişinin, tek taraflı olarak iş akdini feshetmesi ile eş zamanlı olarak veri sorumlusu bünyesindeki on iki yıllık ticari işlem geçmişini içeren kurumsal e-posta hesabını da sildiği, ilgili kişinin bu hareketinin veri sorumlusu bünyesinde ciddi bir şüphe uyandırdığı, ilgili kişinin söz konusu silme eylemi üzerine işyeri ile ilgili pek çok müşteri verisi barındıran e-posta hesabının geri getirilmesi durumunda kalındığı,
  • Yapılan zorlu mücadelelerle e-posta hesabının geri kazanılması sonrasında oluşan şüphe üzerine ilgili kişinin sadakat yükümlülüğüne tamamen aykırı olarak haksız kazanç elde ettiği hususunun açık ve net şekilde tespit edildiği, geri getirme esnasında amaç ve hedefin ilgili kişinin şahsi verilerinin işlenmesi ya da alenileştirilmesi değil, ticari verilere ulaşmak olduğu, 
  • Yapılan işlemler esnasında, ilgili kişinin kendi rızasıyla ve bilinçli olarak kaydettiği şahsi nitelikli veri ve yazışmalarının da sunucudan diğer veriler ile birlikte otomatik olarak çekildiği, ilgili kişinin dilemesi halinde nişanlısı ile olan yazışmaları da dâhil olmak üzere özel yazışmalarını silip ticari yazışmaları gelen kutusunda bırakması mümkün iken bu yolu tercih etmeyerek tüm ticari geçmişi sildiği, bu nedenle özel veriler ihtiva eden bağımsız bir klasöre kaydedilmemiş olan ve ticari yazışmalar arasında dağınık halde bulunan verilerin kurumsal e-posta adresinin incelenmesi esnasında iş yazışmaları arasında tesadüfen elde edildiği, dolayısıyla söz konusu olayda ilgili kişinin kendi ihmali ve rızasının bulunduğu,
  • Kurumsal e-posta içeriklerinin ilgili kişi tarafından silinmesinin akabinde söz konusu e-posta hesabının geri getirilmesi üzerine tüm verilerin silinmesinin uyandırdığı şüpheye dayalı olarak işe yönelik olduğu düşünülen ve sadece işe yönelik yazışmaların yapılmasının gerektiği ilgili kişi tarafından da malum olan e-posta içeriklerinin, ticari ve itibari açıdan zarara uğrama ihtimali oluşan veri sorumlusunun tek şirket yetkilisi tarafından işveren sıfatı ile incelendiği,
  • İşyerinde ve iş saatlerinde söz konusu e-posta hesabı üzerinden özel yazışmaların yapıldığı, ilgili kişinin bu yazışmalarda yer alan verilerin olağan denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği, bu yüzden yapılacak yorumda ilgili kişinin söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiğinin kabul edileceği, zira söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu,
  • Şikâyete konu verilerin tamamına yakınının hâlihazırda ilgili kişi tarafından ikame olunan hizmet tespiti davasında bizzat ilgili kişi tarafından delil olarak sunulduğu ve alenileştirildiği, veri sorumlusu tarafından da bahse konu e-posta hesabındaki yazışmaların yalnızca iddia konusu olan zarar verici eylemlerin ispatı maksadı ile sınırlı ve ölçülü olmak kaydıyla ilgili Mahkemeye bildirildiği,
  • İşveren sıfatına sahip olunmayan dönemde veri sorumlusu tarafından verilerin işlendiği iddiasına ilişkin olarak; söz konusu verilere ilgili kişinin şüpheli davranışı üzerine erişildiği, burada ilgili kişinin temel haklarına yönelik müdahalenin meşru amaca dayalı olduğu, işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği, bununla birlikte bahsedilen tarihte iş sözleşmesinin haklı nedenle sona erip ermediğinin şu an için açılmış bulunan iş davasında ayrı bir ihtilaf konusu olduğu ve davanın henüz neticelendirilmediği,
  • Verilerin yurt dışına aktarıldığı iddiasına ilişkin olarak; şirketin verilerin muhafazası için Microsoft Office ile çalıştığı, aradaki iş ilişkisi dâhilinde Microsoft Office firmasınca geri getirilmiş olan verilerin yalnızca veri sorumlusunun şirket yetkilisiyle paylaşıldığı, başkaca bir aktarım veya verileri yayma durumunun olmadığı,
  • İlgili kişinin verilerinin yetkisiz kişi erişimine açıldığı iddiasına ilişkin olarak; taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde bu gibi bir iddianın mevcut olmadığı, dolayısıyla bu hususta Kanun kapsamında öncelikle kendilerine başvuru yapılması gerektiği, bununla birlikte söz konusu iddianın gerçeği yansıtmadığı, zira bahsi geçen verilere sadece veri sorumlusunun şirket yetkilisinin erişim sağladığı bu durumun veri sorumlusunun meşru hak ve menfaatlerinin korunmasının tabii bir sonucu olduğu

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun (Kurul) 25/11/2021 tarihli ve 2021/1187 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda öncelikle söz konusu tarihte ilgili kişi ile veri sorumlusu arasındaki iş akdinin feshedilmiş olup olmadığının değerlendirilmesi gerektiği ama söz konusu hususa ilişkin henüz verilmiş bir mahkeme kararının da bulunmadığının görüldüğü, 
  • Bununla birlikte, veri sorumlusunun, çalışanlarına tahsis etmiş olduğu e-posta adresinin Kanun kapsamında kişisel veri olmadığı iddiasının Kanun’un 3’üncü maddesi kapsamındaki “kişisel veri” tanımı karşısında geçerli olmadığı, zira yalnızca ilgili kişinin adı, soyadı gibi sadece kimliğini ortaya koyan bilgilerin değil e-posta adresi, özel yazışmaları, şahsi banka hesap dökümleri, harcama kayıtları gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin de kişisel veri niteliğini haiz olduğu,
  • Konu ile ilgili olarak; 17/09/2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi (AYM) Kararı ile;
    • …. Anayasa Mahkemesi daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamındaki uyuşmazlıklarda derece mahkemeleri tarafından devletin pozitif yükümlülükleri bağlamında çıkarların dengelenmesi ve müdahalenin ölçülülüğünün irdelenmesi kapsamında gözetilmesi gereken hususları genel olarak belirlemiş; buna göre somut olayın koşullarına göre iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiğitarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit etmiştir.
    • …Öncelikle somut olayda olduğu gibi teknolojik gelişmelerin imkanlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır.
    • …işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.
    • …devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde- aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir…

12.01.2021 tarihli ve 2018/31036 başvuru numaralı Anayasa Mahkemesi Kararı ile de;

  • …Tüm bu açıklamalar çerçevesinde devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti halinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.

… Öte yandan e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hallerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden
yararlandırılması gerektiği söylenebilir.

şeklindeki kriterlerin vurgulandığı,

  • Öte yandan, Avrupa İnsan Hakları Mahkemesinin (AİHM), Bărbulescu/Romanya Kararı’nda çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkelerin belirlendiği;  AİHM tarafından olay değerlendirilirken bir taraftan, çalışanın özel hayatına ve yazışmalarına saygı gösterilmesi hakkına sahip olduğunun, diğer taraftan şirketin düzgün işlemesi adına işvereninin de gerekli önlemler alma hakkına sahip olduğunun ifade edildiği, ancak ulusal mahkemelerin bu yarışan çıkarlar konusunda adil bir denge kuramadığının belirtildiği, AİHM tarafından, mesajlaşmaların izlenebileceği konusunda çalışanın işvereni tarafından önceden haberdar edilmediğinin tespit edildiği ayrıca başvurucunun, izlemenin niteliği ya da kapsamı özellikle de işverenin mesajlarının içeriğine erişebilme ihtimali hakkında bilgilendirilmediğinin vurgulandığı,  AİHM’e göre ulusal mahkemelerin, izleme tedbirlerini haklı gösterecek özel sebepleri tespit edemediği; ikinci olarak, çalışanın özel hayatına ve yazışmalarına daha az müdahale öngören tedbirlerin varlığının yeterince tartışılmadığı, üçüncü olarak ise mesajların içeriğine çalışanın ön bilgisi olmadan erişildiği, dolayısıyla, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen özel hayata saygı hakkının yeterince korunmadığına ve ihlal edildiğine karar verildiği,
  • AİHM tarafından özellikle işverenin, çalışanlarının iletişimlerini takip etmek için tedbirler alması durumunda, bu tedbirlerin istismarına karşı uygun ve yeterli önlemleri de sağlaması gerektiğinin vurgulandığı; bu noktada Mahkemenin çalışanların özel hayata saygı hakkı ve kişisel verilerinin korunması konusunda özellikle işverenlere rehber olacak kriterlerini;

i.    Çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılıp yapılmadığı,
ii.     İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi, bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi hususunun birbirinden farklı kavramlar olduğu,
iii.    İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işverenin meşru gerekçelere sahip olup olmadığı, özellikle iletişimin içeriğinin denetiminin daha net bir gerekçelendirme gerektirdiği,
iv.    Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirlerin bulunup bulunmadığı,
v.    Denetleme faaliyetinin sonuçları ve bu sonuçların işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı,
vi.    Özellikle işverenin izleme faaliyeti müdahaleci bir nitelikte olduğunda, çalışan yeterli koruyucu önlemlere sahip olup olmadığı, nitekim bu koruyucu önlemler dahilinde çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerektiği,

şeklinde belirttiği,

  • Sonuç olarak, AİHM’in çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğunu vurgulayan bir karar verdiği, AİHM’nin mezkûr kararının, işverenlerin çalışanlar üzerinde herhangi bir denetim mekanizmasından yoksun olduğunu göstermediği, ancak özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin Mahkeme tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiğinin ifade edildiği,
  • Bu kapsamda, konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önünde bulundurulduğunda, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
  • Diğer taraftan, ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasının uygun olacağı,
  • İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
  • İlgili kişinin, veri sorumlusunun, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu işlemlerin Kanun'un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği iddiasına ilişkin olarak; konunun Kanun’un 15’inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme kararı alınmasının uygun olacağı,
  • Veri sorumlusunun, “işyerinde iş saatlerinde söz konusu e-posta hesabı üzerinden özel nitelikli yazışmalar yapan ilgili kişinin, bu verilerin işverenin olağan denetim yükümlülüğü kapsamında erişimine açık olabileceğini pekala göz önünde bulunduracağı ve bu durumun söz konusu yazışmaları işleme ve kaydetme hususunda ilgili kişinin işverene açık rıza verdiği şeklinde yorumlanacağı, bu nedenle söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu” yönündeki savunmasına karşılık, ilgili kişinin “şirket e-posta hesabında, eski nişanlısına gönderdiği özel e-posta içeriği ve şahsi banka hesap özetinin bulunması nedeniyle herhangi bir alenileştirmeden bahsedilemeyeceği” yönündeki iddiasına ilişkin olarak kişisel verilerin alenileştirilmesi kavramına açıklık getirilmesinin faydalı olacağı, 
  • Kişisel Verileri Koruma Kurumu tarafından yayımlanan “6698 sayılı Kanunda Yer Alan Terimler” başlıklı rehberde “‘Herkes tarafından bilinir kılma’ anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.” şeklinde açıklanan “alenileştirme” kavramı ile ilgili olarak “Kişisel Verilerin İşlenme Şartları” başlıklı rehberde de “kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.” şeklindeki açıklamaya yer verildiği, 
  • Dolayısıyla, somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği

değerlendirmelerinden hareketle;

  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
  • İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
  • Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

11.11.2021: “Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 11/11/2021
Karar No : 2021/1153
Konu Özeti : Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin başvurusunda bulunması gereken zorunlu unsurların tamamının yer almadığı, gerekli bilgilerin bulunmaması sebebiyle kimlik doğrulaması yapılamadığı, her ne kadar usulüne uygun bir başvuru olmasa da hak ihlaline sebebiyet vermemek adına ilgili telefon numarasının mesaj gönderilmemesi amacıyla sistem üzerinden engellendiği ve talebine ilişkin olarak ilgili kişiye yanıt verilerek söz konusu işlemin hata ile ortaya çıktığının ve düzeltmelerin yapıldığının bildirildiği; ancak usulüne uygun olarak yapılmayan başvurudan kaynaklı şikâyet hakkının kullanılmasının mümkün olmadığı, 
  • Veri sorumlusu bünyesinde ilgili kişiye ait herhangi bir kayıt veya kişisel veri bulunmadığı, ilgili kişiye ait olduğu iddia edilen cep telefonu numarasının, veri sorumlusundan daha önce hizmet alan başka bir şahsın numarası olduğu ve bu cep telefonu numarasının reklam ve kampanya amaçlı bilgilendirme ve iletişim faaliyetlerinin yürütülebilmesi amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (1) numaralı fıkrasına uygun olarak açık rıza işleme şartı kapsamında işlendiği, bu kapsamda söz konusu numaraya bilgilendirme mesajları gönderilmesi hususunda hastaya yeterli bilgilendirmelerin yapıldığı ve kendisi ile iletişime geçilmesine yönelik ıslak imzalı dilekçe ile açık rızasının alındığı,
  • İlgili kişinin başvurusu üzerine bahse konu telefon numarasının, bilgileri kayıtlı olan hastanın iletişim bilgileri kısmından silinerek taraflarınca gerekli düzeltmelerin yapıldığı, ilgili kişiye de hatanın düzeltildiği yönünde bilgi verilerek bu tarihten sonra kendisine herhangi bir elektronik ileti gönderilmediği ve ilgili kişinin başka bir kişisel verisinin işlenmediği,
  • Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararına uygun şekilde SMS doğrulama sistemine geçildiği ve kimlik doğrulaması ile ilgili kişilerin kişisel verilerinin tespit edilerek buna uygun şekilde açık rızaları doğrultusunda kendilerine SMS gönderildiği; ancak ilgili kişinin telefon numarasının SMS doğrulama sisteminden önce yazılı ve ıslak imzalı bir açık rıza metni olması sebebi ile onayı olduğu varsayılarak sisteme eklendiği ve bu açık rızaya dayalı olarak mesaj iletildiği 

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/11/2021 tarihli ve 2021/1153 sayılı Kararı ile;

  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı, talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği, 
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuruya Cevap” başlıklı 6’ıncı maddesinin (1) numaralı fıkrasında veri sorumlusunun bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun ve (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceğinin veya gerekçesini açıklayarak reddedeceğinin düzenlendiği,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7’nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceğinin; (2) numaralı fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun; (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenlendiğinin hükme bağlandığı,
  • İlgili kişinin veri sorumlusuna ilettiği başvuru incelendiğinde ad, soyad, imza, adres ve iletişim bilgisine yer verildiği görüldüğünden ilgili kişinin veri sorumlusu nezdinde herhangi bir kaydı bulunmaması nedeniyle kimlik tespiti yapılamaması gibi bir durumun söz konusu olmayacağı, 
  • Kanun’un 13’üncü maddesi ile Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası hükümlerine istinaden veri sorumlusunun, ilgili kişinin başvurusunu gerekçesini açıklayarak reddetmemek suretiyle cevaplandırmış olduğu göz önünde bulundurulduğunda ilgili kişinin Kurula başvuru şartını yerine getirdiği ve usulüne uygun bir başvurunun Kurul tarafından incelemeye alındığı sonucuna varıldığı,
  • Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kuruma iletildiği, söz konusu belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiğinin ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığının anlaşıldığı,
  • Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varıldığı, 
  • Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğunun anlaşıldığı, 
  • Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediği sonucuna varıldığı 

değerlendirmelerinden hareketle; 

  • İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
  • Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına 

karar verilmiştir. 

04.11.2021: “Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması”
Karar Tarihi : 04/11/2021
Karar No : 2021/1127
Konu Özeti : Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Başkanlığı tarafından kişisel verileri ihtiva eden 40 sayfalık yazının Yükseköğretim Kurulu (YÖK) Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu Üniversite tarafından tüm Üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, söz konusu belgelerin veri sorumlusu Üniversite Rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek “GİZLİ” ibareli ve mevcut durumda dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Üniversitenin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • YÖK Başkanlığı Hukuk Müşavirliği tarafından gönderilen üst yazı ekinde sunulan TÜBİTAK Başkanlığının yazısında özetle, TÜBİTAK Araştırma ve Yayın Etiği Kurulu tarafından yapılan incelemeler sonucunda 15 hakemli derginin imtiyaz sahibi ve yayıncısı olan ilgili kişinin "haksız yazarlık" yaptığının tespit edildiği ve bu doğrultuda kendisine 5 yıl süre ile yaptırım uygulanacağı ve ilgili kişinin sahibi ve yazarı olduğu dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde bu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasına karar verildiğinin belirtildiği, 
  • Üniversite Rektörlüğü tarafından TÜBİTAK tarafından verilen yaptırım kararı uyarınca "yağmacı yayıncılık" açısından şüpheli bulunan ve akademik teşvik, atama ve yükseltmelerde kullanılması yasaklanan dergilerin Üniversitenin ilgili akademik aktörleri ile paylaşılmasına, bu şekilde YÖK tarafından paylaşılan ilgili yazının gereğinin yerine getirilmesine karar verildiği,
  • Ekinde TÜBİTAK Raporunu barındıran ilgili yazının öncelikle Üniversite içerisinde yalnızca fakülte dekanları ile kurum içi profesyonel haberleşme için kullanılan Elektronik Belge Yönetim Sistemi (EBYS) aracılığıyla paylaşıldığı, bunun dışında e-posta veya benzeri herhangi bir araç ile paylaşım yapılmadığı, söz konusu veri paylaşımının TÜBİTAK Araştırma ve Yayın Etiği Kurulu Kararının gereğinin yerine getirilmesi kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca hukuki yükümlülüğünün yerine getirilebilmesi için ilgili kişiye ait kişisel verilerin işlenmesinin zorunlu olması şartına ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca, akademik aktörlerin teşvik, atama ve yükseltme işlemlerinin tesis edilebilmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayanılarak gerçekleştirildiği, 
  • Devam eden süreçte, Üniversitede akademik çalışmalar yürütmekte olan öğrenciler ile akademik personelin, "yağmacı yayıncılık" şüphesi kapsamında kullanımı yasaklanan ilgili dergileri çalışmalarına esas alması halinde ilgili kişilerin ve/veya Üniversitenin yaşayabileceği mağduriyet riskleri göz önüne alınarak akademik aktörler tarafından sıkça takip edilen Üniversite internet sitesi üzerinde yayımlanmasına karar verildiği, ilgili verilerin internet sitesinde paylaşılmasında ise, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca gerek Üniversite gerek Üniversite bünyesindeki akademik aktörlerin hak kaybına uğramaması ve akademik çalışmaların mevzuata ve yetkili kurum kararlarına uygun yürütümünün sağlanması yönündeki meşru menfaatleri için veri paylaşımının zorunlu olması haline dayanıldığı, ilgili kişisel veri işleme şartı yönünden yapılan değerlendirmede ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşulunun da göz önüne alındığı, şikâyete konu olayın ulusal birçok gazete ve uluslararası platformda erişime açık birçok internet sitesinde yer alması ve kamuoyu tarafından bilinen bir olay olmasından ve paylaşılan bilgilendirmede bu olayı aşar nitelikte kişisel veri paylaşımına yer verilmediğinden hareketle ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek boyutta bir paylaşım olduğuna kanaat getirildiği, 
  • Veri işleme faaliyetinin TÜBİTAK Başkanlığı tarafından hazırlanan raporun Üniversite fakülte dekanlarıyla EBYS üzerinden paylaşılması ve internet sitesi üzerinden yayımlanması suretiyle gerçekleştirildiği, bu kapsamda ilgili kişiye ait ad-soyadı, unvan, adres bilgisi, imtiyaz sahibi yayıncısı ve/veya temsilcisi olduğu dergi bilgileri, akademik çalışma alanı bilgileri, taraf olduğu dosya ve soruşturma bilgileri, hakkındaki görüş yazıları ve hakkındaki komisyon görüşünün üçüncü kişiler ile paylaşıldığı,
  • İlgili kişinin Üniversite internet sitesi üzerinden yapılan paylaşıma ilişkin olarak yaptığı başvuru doğrultusunda konunun tekrar incelendiği ve olayın üzerinden geçen süreden ve akademik aktörlerin geçen süre zarfında bu konuda bilgilenmiş olmalarından hareketle ilgili kişinin talebinin yerine getirildiği, internet sitesi üzerinden yapılan paylaşımın kaldırıldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulu’nun 04/11/2021 tarihli ve 2021/1127 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Yine Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hükmüne, (2) numaralı fıkra gereğince ise kişisel verilerin işlenmesinde “Hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verildiği,
  •  “Kişisel Verilerin İşlenme Şartları” başlıklı Kanunun 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında da, veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
  • İlgili kişinin Kanun kapsamındaki haklarının 11’inci maddenin (1) numaralı fıkrasında düzenlendiği, buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahip dolduğu,

  • Öte yandan, akademik teşvik, atama ve yükseltmeler ve etik ihlaline ilişkin üniversiteler ve akademisyenler nezdinde dikkate alınması gereken yasal düzenlemeler incelendiğinde;
    • 12.06.2018 tarihli ve 30449 sayılı Resmi Gazete’de yayımlanan Öğretim Üyeliğine Yükseltilme ve Atanma Yönetmeliği’nin 12’nci maddesinin birinci fıkrasında, “Profesör kadrolarına atanabilmek için doçentlik unvanını aldıktan sonra en az beş yıl açık bulunan profesörlük kadrosu ile ilgili bilim alanında çalışmış olmak, kendi bilim alanında uluslararası düzeyde orijinal eserler vermiş olmak ve uygulama alanı bulunan dallarda uygulamaya yönelik çalışmalarda bulunması gereklidir.” hükmüne,
    • 18.02.1982 tarihli ve 17609 sayılı Resmi Gazete’de yayımlanan Üniversitelerde Akademik Teşkilat Yönetmeliği’nin 8’inci maddesinin (b) bendinin son paragrafında, “Dekan; fakültenin ve bağlı birimlerinin öğretim kapasitesinin rasyonel bir şekilde kullanılmasında ve geliştirilmesinde, gerektiği zaman güvenlik önlemlerinin alınmasıyla, öğrencilere gerekli sosyal hizmetlerin sağlanmasında, eğitim-öğretim, bilimsel araştırma ve yayın faaliyetlerinin düzenli bir şekilde yürütülmesinde, bütün faaliyetlerin gözetim ve denetiminin yapılmasında, takip ve kontrol edilmesinde ve sonuçlarının alınmasında Rektöre karşı birinci derecede sorumludur.” hükmüne,
    • 15.04.2018 tarihli ve 30392 sayılı Resmî Gazete’de yayımlanan Doçentlik Yönetmeliği’nin 6’ncı maddesinin birinci fıkrasında, “Doçentlik değerlendirme jürisi, adayın başvuru dosyasını ilk olarak bilimsel araştırma ve yayın etiğine aykırılık bulunup bulunmadığı ve asgari başvuru şartlarının sağlanıp sağlanmadığı yönünden değerlendirir…”hükmüne yer verildiği, 
  • İlgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının değerlendirilmesi neticesinde; ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin tevsik edici bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmış olup mevzuatın incelenmesi neticesinde, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle Kanun’a aykırılık teşkil etmediği,
  • İlgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına gönderilen yazıda, ilgili kişinin sahibi ve yazarı olduğu ekli listede isimleri verilen dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde söz konusu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasının ifade edildiği dikkate alındığında; fakülte dekanlarına ilgili belgenin gönderilmesine ilişkin incelenen ilgili mevzuat kapsamında, veri sorumlusunun savunmasında iddia ettiği üzere Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan meşru menfaat işleme şartı kapsamında değerlendirilememekle birlikte aynı fıkranın (e) bendine göre bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması şartına uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin mevcut olduğu kanaatine varılabileceği,
  • Ancak her ne kadar veri sorumlusu Üniversite tarafından ilgili kişiye ilişkin kişisel verileri içeren belge, Üniversitenin herkesin ilk aşamada ulaşabileceği tanıtım ve bilgi amaçlı kullanılan ve tüm ziyaretçilere açık olan adresten farklı olarak bilimsel çalışmalarda bulunan akademik aktörler tarafından proje geliştirme amacıyla kullanılan akademik kullanım amaçlı site üzerinden yayımlanmış ve veri sorumlusu tarafından ilgili kişinin başvurusu sonrası paylaşımın sehven yapıldığı belirtilmek suretiyle kaldırılmış olsa da yüksek lisans ve doktora öğrencileri ile akademik personeli bilgilendirme amacını aşacak şekilde, TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına “GİZLİ” olarak gönderilen belgede yer alan üçüncü kişilere ait kişisel verilerin, ilgili kişiye ait adres bilgisi, taraf olduğu soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü gibi kişisel verilerin tamamının veri sorumlusu tarafından Üniversiteye ait internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediği

değerlendirmelerinden hareketle;

  • Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
  • Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine 

karar verilmiştir.

02.11.2021: “İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1111
Konu Özeti : İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması

 

İlgili kişinin şikâyetinde özetle;

  • Veri sorumlusunun vekillik görevi üstlendiği işçilik alacakları davası kapsamında ilgili kişinin davalı tanığı olarak bilgi ve görgüsüne başvurulduğu,
  • Daha sonra veri sorumlusunca mahkemeye sunulan beyan dilekçesinde ilgili kişi ile ilgili olarak “Ayrıca … tanık … hakkında daha önceden çok sayıda memur olmayan kişinin resmî belgede sahteciliği suçundan dolayı ceza davaları açılmıştır. Bu davalarda son olarak ….. Ceza Mahkemesinde …. dosyada almış olduğu mahkûmiyet hükmü kesinleşmiştir.” ifadelerine yer verilmek suretiyle ceza mahkûmiyeti bilgisinin paylaşıldığı ve mahkemeden ilgili kişinin tanıklığına itibar edilmemesinin talep edildiği,
  • İlgili kişinin özel nitelikte kişisel verisi olan adli sicil kaydına ilişkin bilgilerin veri sorumlusu tarafından hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu,
  • Veri sorumlusunca dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmadığı, bu bilgilerin dosyanın esası bakımından bir faydasının da bulunmadığı, zira ilgili kişinin dosyada sadece tanıklık yaptığı,
  • Veri sorumluları tarafından kullanılan üçüncü kişilere ait kişisel verilerin amaçla bağlantılı ve ölçülü olması gerektiği, ancak ilgili kişiye ait özel nitelikli kişisel verilerin veri sorumlusunca kullanımının amaçla bağlantılı ve ölçülü olmadığı,
  • İlgili kişinin yıllar önce yaşamış olduğu ve cezasını çekmiş olduğu bir dosyanın tekrar gün yüzüne çıkmasıyla birlikte işverenine ve çalışma arkadaşlarına karşı rencide olduğu, küçük düştüğü ve bu olay neticesinde büyük bir üzüntü duyduğu, dolayısıyla da manevi olarak büyük bir kayıp yaşadığı ve psikolojisi ile sağlığının da olay nedeniyle bozulduğu, 
  • Konu hakkında veri sorumlusuna iletilen başvuru dilekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 11’inci ve 13’üncü maddeleri kapsamında bilgi talep edildiği, ancak veri sorumlusu tarafından bu başvuruya verilen cevapta başvuru dilekçesindeki hususlara ilişkin makul ve yeterli cevap verilmediği

hususları bildirilmiş olup; ilgili kişinin özel nitelikli kişisel verilerinin hukuka aykırı olarak ele geçirilmesi, bu verilerin ilgili kişinin onay ve rızası dışında beyan dilekçesinde mahkemeye sunulması suretiyle üçüncü kişilerle paylaşılması ve ilgili kişinin bu durumdan dolayı maddi ve manevi olarak yıpranması sebepleriyle veri sorumlusu hakkında 6698 sayılı Kanun uyarınca idari yaptırım uygulanması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin 6698 sayılı Kanun’a aykırılık iddialarının kabulünün mümkün olmadığı, zira ilgili kişinin mahkeme tarafından kendilerinin vekil olarak yer aldıkları bir duruşmada tanık olarak dinlendiği ve bu nedenle de T.C. kimlik numarası bilgilerinin duruşma tutanağında yer aldığı,
  • Dosyada vekil olarak yer almaları nedeniyle ilgili kişinin T.C. kimlik numarasına erişimlerinin zaten mevcut olduğu, adli sicil verilerinin de avukatlar tarafından adliye kanalıyla kolayca erişilebilen veriler olduğu, işleri gereği bu bilgilere erişimlerinin olmasının hayatın olağan akışına uygun olduğu, kaldı ki ilgili kişinin vekil oldukları dosyada tanık sıfatıyla yer alarak dosyanın akıbetini etkileyecek bir konuma sahip olduğu ve bu kapsamda ilgili kişi hakkında araştırma yapmalarının hukuka aykırılık teşkil etmediği, 
  • Adli sicil verilerinin her avukat tarafından ilgili kişinin T.C. kimlik numarası aracılığıyla öğrenilebilecek bir husus olduğu, 
  • Şikâyete konu beyan dilekçelerinde ilgili kişinin bilgilerine yer vermelerinin yargılama gereği taraflarına verilen tanık beyanlarına karşı beyanda bulunma yasal haklarının kullanılmış olmasının bir sonucu olduğu,
  • Dosya kapsamında tanık olarak dinlenmiş olan ilgili kişinin gerçeği yansıtmadığını düşündükleri beyanlarına itibar edilmemesi için taraflarınca kaleme alınan dilekçe ile iddialarının dayanağı olan bilgilerin mahkemece görülmesini sağlamayı amaçladıkları,
  • İlgili kişinin şikâyetinde ilgili kişinin tanık olarak dinlenmesi nedeniyle adli sicil bilgilerinin dosyanın esasına bir etkisinin olmayacağı belirtilmiş olsa da bu beyanın yargılamada elzem değeri olan tanık delilinin önemini hiçe saymak olduğu, tanıklık sıfatının yargılamanın her kolunda önemli bir yere sahip olduğu ve dosyanın muhteviyatına göre yargılamanın yönünü belirlediği, bu nedenle yargılamada tanık beyanlarına itimat edilmesi hususunda tanığın doğru ifade verdiğinden emin olunması gerektiği ve tanıklık yapan kişinin adli geçmişinin de vereceği beyanlar kapsamında önem arz ettiği,
  • 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında verilerin işlenmesindeki esaslara yer verildiği, vekil olarak görev yaptıkları dosyanın akıbeti hususunda mezkûr maddede geçtiği şekilde belirli, açık ve meşru olan amaçlarına uygun ve ölçülü olarak işleme faaliyetinde bulunulduğu, amaçlarının sadece mahkemenin tanık hakkında bilgilendirilmesi olduğu, 
  • İlgili kişinin adli sicil verilerinin taraflarınca hukuka aykırı şekilde elde edilmediği, aksine vekil olmaları dolayısıyla taraflarına açık olan bilgiler eşiğinde yine bir yargı organı vasıtasıyla elde edildiği, kaldı ki kişilerin adli sicil kayıtlarının UYAP vasıtasıyla hâkimler ve savcılar tarafından zaten ulaşılabilir veriler olduğu, dolayısıyla taraflarının mahkemeye bu bilgileri sunmasının 6698 sayılı Kanun’a aykırılık teşkil etmeyeceği,
  • Avukatlığın hem bir kamu hizmeti hem de serbest meslek olduğu, 1136 sayılı Avukatlık Kanunu’nun (Avukatlık Kanunu) 2’nci maddesinde mesleğin amacının “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” olarak açıklandığı, avukatların bu yolda görev yaparken çoğu kez belirsizliklerle karşılaştıkları ve bu belirsizlikleri kendi imkânlarıyla çözmek zorunda oldukları, 
  • Bu nedenle avukatların bir olayın aydınlatılması için çeşitli kurum ve kuruluşlardan zaman zaman bilgi almalarının gerektiği, kanun koyucunun da Avukatlık Kanunu’nun 2’nci maddesinde “Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır.” hükmüne yer verdiği ve bu hükmün avukatların mesleklerinin gereklerini yerine getirirken ihtiyaç duydukları bilgileri kendilerine sağlayabilecek kurumlara başvuru yapabilmelerine imkân sağladığı,
  • Şikâyet konusu olayda adliye kanalıyla ilgili kişinin adli sicil verilerine ulaşmış ve sonrasında da bunu ilgili mahkemeye bildirmiş olmalarının vekillik görevleri gereği yargı organlarından yararlanmaktan başka bir şey olmadığı, hâl böyleyken avukat olarak mahkemeye sundukları verilerin 6698 sayılı Kanun’a aykırı olduğunu öne sürmenin hakkaniyete uygun olmayacağı, zira bahsi geçen olayda Avukatlık Kanunu’ndan kaynaklanan bir yetkinin kullanılmasının söz konusu olduğu,
  • Meslekleri gereği kamu hizmeti yaptıkları da düşünülürse taraflarına kanunla sağlanan bir yetkinin kullanılması niteliğinde olan mevcut durumun ilgili kişi tarafından kötü niyetli olarak ve tamamıyla dürüstlük kurallarına aykırılık teşkil edecek şekilde kullanılıyor olmasının hukuk düzeni içerisinde kabul edilebilir olmadığı,
  • İlgili kişinin adli sicil kayıtlarının sadece beyan dilekçesi içerisinde mahkemeye sunulduğu, herhangi bir üçüncü kişiyle paylaşılmadığı, aynı zamanda ilgili kişiye ait başka herhangi bir kişisel veri veya bilginin de elde edilmemiş olduğu, 
  • Yukarıda yer alan tüm bilgiler ve kanun maddeleri doğrultusunda ilgili kişinin iddia ettiği üzere 6698 sayılı Kanun’a aykırı bir unsurun bulunmadığı

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 02/11/2021 tarihli ve 2021/1111 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altına alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusu tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, depolanması, kullanılması, aktarılması vb. fiillere konu edilmesinin “özel nitelikli kişisel verilerin işlenmesi faaliyeti” olarak niteleneceği ve bu tarz faaliyetlerin hem 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılarak ve Kurul tarafından belirlenen yeterli önlemler alınarak hem de 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun olarak yürütülmesi gerektiği konusunda herhangi bir şüphenin bulunmadığı,
  • Bu kapsamda, somut olayda ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusunca elde edilmesinin 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanıp dayanmadığının öncelikle ele alınması gerektiği, zira ilgili kişinin adli sicil kaydı verilerinin veri sorumlusunca 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılmadan elde edilmiş (ve sonrasında da kullanılmış/verilmiş) olması durumunda söz konusu fiillerin hukuka aykırı nitelikte birer veri işleme faaliyeti teşkil edeceği,
  • Dosyaya sunulan bilgi ve belgelerden; ilgili kişinin adli sicil verilerinin işlenebilmesi için veri sorumlusuna vermiş olduğu bir açık rızanın bulunmadığının görüldüğü, veri sorumlusunun “ilgili kişinin adli sicil kaydı bilgilerinin Avukatlık Kanunu’na uygun olarak adliyeden temin edildiği, taraflarınca yapılan iş ve işlemlerde herhangi bir hukuka aykırılık bulunmadığı” yönündeki savunmasından ise ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında düzenlenen “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” düzenlemesine dayanıldığının anlaşıldığı, bu yüzden de veri sorumlusunun savunmasında zikrettiği Avukatlık Kanunu’nun 2’nci maddesi hükmünün 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında geçen “kanunlarda öngörülen haller”in kapsamına girip girmediğinin açıklığa kavuşturulması gerektiği,
  • Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. (…) Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. (…)” ifadelerinin yer aldığı, 
  • 5352 sayılı Adlî Sicil Kanunu'nun (“Adlî Sicil Kanunu”) “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 7'nci maddesinde ise “(1) Adlî sicil bilgileri, kullanılış amacı belirtilmek suretiyle; a) İlgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, b) Kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına, verilebilir. (2) Yabancı devletler tarafından istenilen adlî sicil bilgileri mütekabiliyet esasına göre verilir.” düzenlemesinin mevcut olduğu, ayrıca Adlî Sicil Kanunu’nun 15’inci maddesine dayanılarak çıkarılan Adlî Sicil Yönetmeliği’nin “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 9’uncu maddesinde de “Adlî sicil bilgileri, kullanılış amacı ve verileceği merci belirtilmek suretiyle; ilgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına verilebilir. Taleplerin yazılı olarak yapılması sırasında, adlî sicil bilgisinin niçin istendiğinin belirtilmesi ve nüfus kimlik bilgilerini içeren belgenin dilekçeye eklenmesi; kamu kurum ve kuruluşları ile kamu kurumu niteliğinde meslek kuruluşlarınca da kimlik bilgilerinin tereddüde yer vermeyecek şekilde bildirilmesi zorunludur. (…)” denildiği,
  • Mezkûr mevzuat hükümlerinin lafızlarına istinaden, Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde mevcut olan “özel hüküm” karşısında bir “genel hüküm” niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşıldığı,
  • İlgili kişinin -veri sorumlusu tarafından yürütülmüş olan kişisel veri işleme faaliyetlerine konu olan- özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm kişisel veri işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale getirdiği, zira hukuka uygun olmayan bir şeyin üzerine meşru bir şeyin bina edilemeyeceği konusunda herhangi bir şüphenin bulunmadığı

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla; ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından ilgili kişi hakkında başlangıçtan itibaren hukuka aykırı nitelikte kişisel veri işleme faaliyetinde bulunulduğu kanaatine ulaşıldığından, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Söz konusu verinin paylaşılmasının 5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

02.11.2021: “Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1110
Konu Özeti : Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması

 

Kuruma intikal eden ihbarda özetle, bir holding bünyesinde faaliyet gösteren veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı, bu işlemi yaparken amaçlarının internet adresini verdikleri şahısların burada yazan yakalama kararı olan araçları bulmaları halinde 155 ihbarı yaparak bu araçların yakalatılmasının ve trafikten men edilmesinin sağlanması olduğu ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmektedir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin Kanun’un 11 ve 14’üncü maddeleri uyarınca veri sorumlusuna başvuruda bulunmadığı, ilgili kişinin herhangi bir kişisel verisi işlenmediğinden hukuken başvuru için aranan ilgili kişi maddi unsurunun mevcut olmadığı, ilgili kişiye şirketleri tarafından herhangi bir araç satışının yapılmadığı, ilgili kişinin muhafaza edilen şirket bilgilerine erişebilecek imkâna sahip olmadığı,
  • Şirketlerinin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde şirketlerince hukuki yollara başvurularak icra takibi başlatıldığı, müşteriler adına kayıtlı araçlarda haciz ve yakalama işlemlerinin icra müdürlüğü tarafından yapıldığı, yakalanan araçların icra mevzuatı gereğince Yediemin otoparklarına çekildiği, Yedieminlerin otoparka çekilen araçlarda icra dosyası alacaklısını görerek şirketlerine haber verdiği, bunun dışında hiçbir Yediemin ya da üçüncü kişilerle müşterilerinin icra borcu bilgisinin paylaşılmadığı,
  • İlgili kişinin belirttiği internet adresi incelendiğinde böyle bir adresin sunucularında mevcut olmadığı ve internet adresinde ilgili kişinin iddialarını ispat edici bir içeriğin mevcut olmaması sebebiyle başvurunun reddinin gerektiği, müşterilere ait kişisel verilerin dijital güvenli bir sunucu ortamında aktarıldığı ve şirket sistemi içinde sadece yetkilendirilmiş kullanıcı adı ve şifresiyle giriş yapan personeller tarafından sorgulama yapılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1110 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)     Hukuka ve dürüstlük kurallarına uygun olma,
b)     Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ihbar dilekçesinin Kurula Cumhurbaşkanlığı İletişim Merkezi (CİMER) üzerinden intikal ettiği, ilgili kişinin dilekçesinde kendisine ait herhangi bir verinin bu internet adresinde paylaşıldığını ya da başka bir suretle işlendiğini iddia etmediği, Kanun’un 15’inci maddesinin birinci fıkrasında yer alan “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü gereğince Kurulun şikayet veya ihbar üzerine inceleme yapabileceği gibi şikayet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, bir veri ihlali iddiasıyla ilgili olarak Kurulun harekete geçmesi için ihlalden etkilenen ilgili kişilerin Kurula şikayet başvurusunda bulunmasının gerekmediği göz önünde bulundurulduğunda CİMER üzerinden iletilen dilekçenin ihbar niteliğinde kabul edilerek Kurulun konu hakkında inceleme başlatılmasına karar verdiği,
  • İncelemeye konu internet adresinin veri sorumlusuna Kurum tarafından bilgi ve belge talebi gönderilmesinden önce incelenmesi neticesinde, internet adresinde ilgili kişilerin isimleri, T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı ve bu bilgiler arasında araç plakası, şehir ve ilçeye göre arama yapılabildiğinin tespit edildiği, Kurum tarafından gönderilen bilgi ve belge talebi yazısı veri sorumlusuna tebliğ edildikten sonra söz konusu internet adresine ulaşılmaya çalışıldığında ise siteye ulaşılamadığı uyarısı alındığı, 
  • Veri sorumlusu tarafından İcra ve İflas Kanunu hükümleri çerçevesinde borçlu müşterilerden alacağını tahsil etmek için icra takibi başlatılması, malvarlığı sorgulaması sonucu haciz konulması için kişisel veri işlenmesi Kanun’un 5’inci maddesinin ikinci fıkrasının (a) ve (e) bentlerinde düzenlenen kanunlarda açıkça öngörülme ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebeplerine dayanabilirse de bu verilerin herkesin erişimine açık internet ortamında veri sorumlusu tarafından yayımlanmasının herhangi bir veri işleme şartına dayanmadan yapılan hukuka aykırı bir veri işleme faaliyeti olduğu

değerlendirmelerinden hareketle,

  • Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
02.11.2021: “İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1107
Konu Özeti : İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • İlgili kişinin bahsettiği tarihte başvurusunun bulunmadığı fakat başka bir tarihte kendilerine e-posta üzerinden bir şikâyet ilettiği ve aynı tarihte kendisi ile telefonla irtibata geçildiği fakat ilgili kişinin aramaları yanıtlamaması nedeniyle kendisine e-posta ile bilgi verilerek görüşme talebinde bulunulduğu ancak Banka tarafından iletilen e-postaya ilgili kişiden herhangi bir yanıt alınamadığı ancak aynı konulu başka tarihteki şikâyetlerinin Banka Genel Müdürlüğüne iletilerek başka bir tarihte yanıtlandığı,
  • Banka ile kurumlar arasında imzalanan protokoller kapsamında kurumların fatura tahsilatlarına aracılık hizmetinin verildiği ve bu kapsamda ilgili kişinin imzalamış olduğu Bankacılık Hizmetleri Sözleşmesi çerçevesinde verdiği fatura ödeme talimatlarının yerine getirilebilmesi amacıyla fatura ödeme talimatı verilen kurumlarla müşteri işlem; Banka nezdinde kredi ürünlerine ilişkin olarak bankacılık sektörüne yönelik yasal düzenlemelere uyumun sağlanması, Bankanın risk izleme ve bilgilendirme yükümlülüklerinin yerine getirilmesi amacıyla Türkiye Bankalar Birliği Risk Merkezine kimlik, iletişim, müşteri işlem; Banka’nın acentesi olduğu …Sigorta A.Ş. nezdindeki sigorta poliçelerinin prim ödemeleri ile ilgili olarak söz konusu Şirkete müşteri işlem; ilgili kişinin yasal takipte izlenen kredilerinden kaynaklanan Bankanın alacaklarının tahsili amacıyla anlaşmalı hukuk bürosuna kimlik, iletişim, müşteri işlem, hukuki işlem bilgilerine ilişkin olarak her bir konu özelinde, ilgili amacın gerçekleştirilmesiyle kısıtlı olacak şekilde veri aktarımının gerçekleştirildiği,
  • İlgili kişinin yurt dışına aktarılan kişisel verisinin bulunmadığı,
  • 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun Geçici 28’inci maddesinde Türkiye Cumhuriyet Merkez Bankası nezdinde izlenen risk verilerinin 5411 sayılı Kanun’a göre kurulmuş olan Risk Merkezine aktarılmasının düzenlendiği, aynı Kanun’un Ek 1’inci maddesinde ise; “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.” düzenlemesinin yer aldığı, anılan hükümler ve Türkiye Bankalar Birliği tarafından yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği ile üye bankaların Risk Merkezine bilgi paylaşımının kapsamı, biçimi ve içeriği ile tarafların yükümlülüklerinin düzenlendiği,
  • İlgili kişinin talebi üzerine yapılan incelemede gerçek kişi tacir ilgili kişinin bireysel kredi kartı geri ödemelerinde gecikme olmamasına karşın ticari nitelikli kredi kartından kaynaklanan gecikme nedeniyle gecikme bildiriminin yapıldığının anlaşıldığı,
  • Bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği, çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği,
  • Güncelleme işlemlerinin Türkiye Bankalar Birliği Risk Merkezine ait portal üzerinden, kullanıcı ve onaylayıcı olarak yetkilendirilmiş Banka çalışanlarının Bankanın sistemindeki güvenlik kontrollerine uygun şekilde giriş yapması sonrasında gerçekleştirilebildiği, Portaldaki “Acil Güncelleme Sistemi”ne müşteri T.C. kimlik numarası bilgisinin girilerek gerekli düzeltmenin yapıldığı ve yetkilendirilmiş kullanıcının onayıyla sürecin tamamlandığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1107 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinde; kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılamayacağının, özel nitelikli olmayan kişisel verilerin ancak Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde, özel nitelikli kişisel verilerin ise yeterli önlemler alınmak kaydıyla 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • 5411 sayılı Kanun’un Geçici 28’inci maddesinin üçüncü fıkrasında; “Merkez Bankası nezdindeki Risk Merkezi bilgileri, bu Kanuna göre kurulan Risk Merkezine aktarılır.” hükmü ile aynı Kanun’un Ek 1’inci maddesinde; Risk Merkezine ilişkin ayrıntılı düzenlemelere yer verildiği, ilgili hükmün birinci fıkrası uyarınca Risk Merkezinin; Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere kurulmuş olduğu, bu maddenin ikinci fıkrası gereğince; kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların, Risk Merkezine üye olmak zorunda olduğu ve üye kuruluşların, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğunun düzenlendiği, bu açıklamalarda bahsi geçen kredi kuruluşlarının; 5411 sayılı Kanun’un 3’üncü maddesinde, mevduat bankaları ve katılım bankaları olarak açıklandığı,
  • 10/04/2012 tarihli ve 28260 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Türkiye Bankalar Birliği Risk Merkezi Yönetmeliğinin (Risk Merkezi Yönetmeliği) 9’uncu maddesi gereğince; Risk Merkezine üye olanlar tarafından Risk Merkezine müşteri ve/veya hesap bazında değişiklikler göstermekle birlikte, kredi limiti, kredi riski, donuk alacak niteliğindeki kredi ve diğer alacaklar, çekler ve çek hesabı sahibinin bilgileri vb. ile Risk Merkezi Yönetimi tarafından Risk Merkezinin kuruluş amaçları doğrultusunda belirlenen diğer bilgilerin bildirildiği,
  • Risk Merkezi Yönetmeliğinin 10’uncu maddesinin birinci fıkrası uyarınca ise; kredi limiti ve kredi riski bilgilerinin müşteri bazında birleştirilerek bu müşteriler hakkında bildirimde bulunan üyelere bildirim dönemi itibariyle topluca bildirildiği, yine aynı Yönetmeliğin 17’nci maddesinin birinci fıkrasının (a) bendinde; Risk Merkezine üye olanların, Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak vermekle sorumlu olduklarının düzenlendiği,
  • Somut olayda veri sorumlusunun, banka niteliğini haiz olmakla birlikte 5411 sayılı Kanun’un Ek 1’inci maddesi uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu ve gerek 5411 sayılı Kanun gerekse Risk Merkezi Yönetmeliği gereğince; Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, bu kapsamda ilgili kişiye ait finans verilerinin veri sorumlusu tarafından Risk Merkezine bildirilmesinin Kanun’un 8’inci maddesi anlamında aktarım anlamına gelmekte olduğu ve söz konusu aktarım faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından birine dayanması gerektiği,
  • Bu çerçevede, 5411 sayılı Kanun ile Risk Merkezi Yönetmeliği hükümleri kapsamında veri sorumlusunun söz konusu kişisel veri aktarım faaliyetini gerçekleştirmesi gerektiği, dolayısıyla veri sorumlusunun ilgili kişinin finans verilerini Risk Merkezine bildirmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” ile (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında olduğu,
  • Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesi uyarınca, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu, 
  • Bu ilkelerden “Doğru ve gerektiğinde güncel olma” ilkesinin, Kanun’un 11 inci maddesinde düzenleme altına alınan ve ilgili kişinin haklarından biri olan kişisel verilerin düzeltilmesini talep etme hakkı ile doğrudan ilgili olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerli olduğu (örneğin kredi verme işlemleri),
  • Somut olay bakımından, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından, veri sorumlusu Banka’nın aktif özen yükümlülüğü altında olduğu, zira, kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemler bakımından banka hesap bilgilerinin güncelliğinin önem arz ettiği, 
  • Söz konusu verilerin yalnızca veri sorumlusu bünyesinde tutulmadığı ve pek çok kredi ve finans kuruluşunun erişebildiği Risk Merkezine de aktarıldığı, bununla birlikte, veri sorumlusu Banka’nın, Risk Merkezi Yönetmeliğinin 17’nci maddesinin birinci fıkrasının (a) bendi gereğince de; Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak verme sorumluluğu bulunduğu,
  • Öte yandan, Kanun’un “İlgili kişinin hakları” başlıklı 11’inci maddesi uyarınca; herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11 inci maddenin birinci fıkrasının (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğu ve bu kapsamda ilgili kişilerin, kişisel verilerinin eksik veya yanlış işlenmesi halinde, bunların düzeltilmesini talep etme hakkının bulunduğu,
  • Somut olay bakımından, Kuruma intikal eden belgeler incelendiğinde, veri sorumlusu Banka tarafından ilgili kişiye cevap verildiği ancak konuyu aydınlatacak ve ilgili kişinin şikâyetini çözümleyecek derecede yeterli bir cevap verilmediği,
  •  Zira ilgili kişinin farklı zamanlarda veri sorumlusu ile e-posta yoluyla iletişime geçerek Risk Merkezine yanlış aktarılan finans verilerinin düzeltilmesini tekraren talep ettiğinin görüldüğü,
  • İlgili kişi tarafından veri sorumlusuna iletilen, sair tarihlerdeki e-postaların tamamının aynı konuya ilişkin olduğu, veri sorumlusu tarafından bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği ve çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği belirtilmiş olup, yazının farklı birçok tarihe ilişkin “Acil Güncelleme Sistemi” ekran görüntülerine yer verildiğinin görüldüğü,
  • Söz konusu ekran görüntüleri incelendiğinde; ilgili kişiye ait hesap kaydı detaylarının revize edildiği, veri sorumlusundan alınan yazıda bahsedilen sistem geliştirmelerinin tamamlandığı, yapılan geliştirmenin sonuçlarının titizlikle izlendiği ve bu süreçte, ilgili kişiye ilişkin Risk Merkezi bildirimlerinde düzeltme gerektiren bir hususa rastlanmadığı ve yapılan geliştirmenin başarılı olarak sonuçlandığının teyit edildiğinin belirtildiği, bu kapsamda veri sorumlusu tarafından ilgili kişinin Risk Merkezine yanlış aktarılan kişisel verilerinin düzeltilmesi talebinin veri sorumlusu tarafından yerine getirildiği,
  • Öte yandan, her ne kadar ilgili kişinin yanlış işlenen kişisel verileri veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda düzeltilmiş olsa da başlangıçta gerçeğe aykırı olarak işlenen ve Risk Merkezine aktarılan kişisel veriler bakımından hukuka aykırı bir kişisel veri işleme faaliyetinin gerçekleştirildiği, veri sorumlusu tarafından gerek manuel düzeltmeler yapılması gerek sistemsel iyileştirmelere gidilmesi suretiyle ilgili kişinin talebi yerine getirilmiş olsa dahi, ilgili kişinin veri sorumlusunun bir dönem Kredi Kayıt Bürosuna yaptığı hatalı raporlamalar suretiyle kişisel verilerinin yanlış işlendiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek üzere gerekli idari ve teknik tedbirleri almadığının anlaşıldığı,
  • Zira, Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere bütün kişisel veri işleme faaliyetleri bakımından riayet edilmesi gerekmekle birlikte, somut olay bakımından veri sorumlusunun işlediği kişisel verilerin doğru ve güncel tutulması bakımından aktif özen yükümlülüğünün bulunduğu,
  • Bir kişisel veri işleme faaliyetinin hukuka uygunluk arz edebilmesi için gerek Kanun’un 5’inci ve 6’ncı maddesindeki işleme şartlarından birinin varlığı gerek Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygunluğun sağlanması gerektiği, somut olay bakımından da, veri sorumlusu tarafından yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı

değerlendirmelerinden hareketle,

  •  İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında;
    • Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması, 
    • Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi, 
    • Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
    • Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi 

hususları da göz önünde bulundurularak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir. 

02.11.2021: “Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/11/2021
Karar No : 2021/1104
Konu Özeti : Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;  verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal ettirilen cevabi yazıda özetle;

  • Banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı, ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 03.08.2019 tarihinde kapatıldığı, 
  • İlgili kişinin Banka nezdinde demografik bilgilerinin (ad, soyadı, T.C. kimlik no, baba adı, anne adı, doğum tarihi, cinsiyet, doğum, doğum ülkesi, yerleşik ülke, vergi kimlik numarası, öğrenim bilgisi, medeni durum), meslek bilgisinin, anne kızlık soyadının, iletişim adreslerinin (telefon, cep telefonu, adres, e-posta), hesap numarası/IBAN bilgisi, banka tarafından üretilen müşteri numarası, kredi kartı müşterisi olması sebebiyle kredi kartı numarası gibi kişisel verilerinin işlendiği, 
  • •    İlgili kişinin Bankadan almış olduğu ürün ve hizmetler nedeniyle kurduğu ilişki kapsamında; Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan; kanunlarda açıkça öngörülmesi, Banka ile imzalanan sözleşme veya bu sözleşmenin yerine getirilmesiyle doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın oluşması, kullanılması veya korunması için veri işlemenin zorunlu olması ve aynı maddede düzenlenen müşterilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Bankanın meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle; özel nitelikli kişisel veriler için ise Kanun'un 6’ncı maddesinin (2) numaralı fıkrasına göre müşterilerin açık rızasının bulunması hukuki sebepleriyle kişisel verilerinin işlendiği,
  • İlgili kişinin 06.01.2020 tarihinde Banka’ya başvurarak, Banka’nın kredi kartı müşterisi olduğu, kredi kaydını kapattırması sebebi ile Banka nezdindeki tüm kişisel verilerinin silinmesini talep ettiği,
  • 6102 sayılı Türk Ticaret Kanunu'nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu'nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı, 
  • Banka nezdinde muhafaza edilen müşteri bilgilerine ilişkin 10 yıllık saklama süresinin henüz dolmadığı dikkate alınarak ilgili kişinin kişisel verilerinin silinmesi talebine olumlu yanıt verilemediği ancak kişisel verilerin ikincil amaçlarla işlenmemesi adına Banka nezdinde gerekli adımların atıldığı,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4’üncü maddesinde yer verilen genel ilkelere uygun olarak kişisel verilerin saklama amacı dışında işlenmemesi için gerekli tedbirlerin alındığı, ilgili kişinin ticari elektronik ileti gönderilmesine ilişkin tüm tercihlerinin hiçbir kanaldan ulaşılmaması yönünde güncellendiği, verilerinin saklanması için gerekli hukuki sebep haricinde pazarlama gibi ikincil amaçlarla işlenmemesinin sağlanacağı yönünde ilgili kişiye cevap verildiği, 
  • İçişleri Bakanlığı'nın ve İl Hıfzıssıhha Kurullarının, Umumi Hıfzıssıhha Kanunu hükümleri doğrultusunda ve Banka’nın uymakla zorunlu olduğu tedbirler kapsamında özellikle pandeminin ülkemizde görüldüğü ilk aylardan itibaren sokağa çıkma yasağı kısıtlaması bulunan illerdeki Banka şubelerinin çalışma gün ve saatleri, genel olarak tüm şubelerinin çalışma saatleri, salgının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin geçmişte Bankadan hizmet almış eski müşterileri olmak üzere tüm müşterilerine duyurulması ve bu konuda bilgilendirme yapma ihtiyacının hasıl olduğu,
  • Bu gerekçelerle ilgili kişi müşterinin Banka’da kayıtlı telefon numarasına koronavirüs salgınının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin duyurulduğu birtakım bilgilendirme SMS'lerinin gönderildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’e uygun olarak, Banka nezdinde yapılan zorunlu iletişim konularının; “ Ürün ve hizmetlerimize ilişkin değişiklik ve kullanıma yönelik iletiler, devam eden ürün ve hizmetlerle ilgili tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler, ilgili mevzuata göre bilgi verme yükümlülüğümüz bulunan durumlar” şeklinde tanımlandığı,
  • Bankanın hukuken bilgi verme yükümlülüğünün bulunduğu durumlarda önceden onay alma zorunluluğunun bulunmadığı ve ilgili mevzuatta öngörülen bu durumlarda ilgili kişilerin de ret hakkını kullanamayacağının yukarıda sözü edilen Yönetmeliğin 9’uncu maddesinin 1’inci fıkrasında tekraren vurgulandığı, söz konusu hükme göre ilgili kişinin reddetme hakkını kullanmış olmasının hizmet sağlayıcı olarak Banka’nın tabi olduğu ilgili mevzuat hükümlerine göre alıcı sıfatını taşıyan kişilere gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmediği,
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen kanunlarda açıkça öngörülmesi ve (ç) bendinde düzenlenen Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerinin ilgili kişilerin açık rızası olmadan kişisel verilerinin işlenebileceği durumları düzenlediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1104 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Kanun’un 5’inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanun’un 4’üncü maddesinde yer alan ilkelere de uygun hareket edilmesi gerektiği, aksi halde, kişisel verilerin işlenmesine ilişkin hukuki şartlar geçerli olsa dahi hukuka aykırı veri işleme durumunun söz konusu olacağı,
  • Veri sorumlusunun, toplanan kişisel verilerin işlenme amacını açık ve kesin olarak belirlemesi ve ilgili kişiye belirtilen amaçlar dışında başka amaçlarla kişisel verileri işlememesi gerektiği, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması ve yine bu ilke uyarınca amaç için gerekli olan süreye uygun olarak da muhafaza edilmesi gerektiği, Kişisel Verilerin Korunması Kanunu’nun gerekçesinde “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı,
  • Şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip Covid 19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü,
  • İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
  • Kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından birine dayanılması gerektiği ancak somut olayda bilgilendirme içerikli mesajların iletilmesi suretiyle ilgili kişinin kişisel verisinin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı, öte yandan işlemenin Kanun’un 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna da aykırı olduğu dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı,
  • Diğer taraftan, 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesinde; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlandığı,
  • 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesine dayanılarak hazırlanan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesinin (1) numaralı fıkrasında ise “Bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dahil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmünün yer aldığı,
  • Dolayısıyla veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
  • Öte yandan veri sorumlusunun sunduğu belgeler ile 5411 sayılı Kanun’un 42’nci maddesinde belirtilen 10 yıl saklama süresi hükmü ve 6698 sayılı Kanun’un 4’üncü maddesinde belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

21.10.2021: “Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 21/10/2021
Karar No : 2021/1069
Konu Özeti : Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; borçlu yakını olarak bir Banka avukatınca kendisine İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında gönderilen haciz ihbarnamesi ile kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını tespit ettiği ve bu konuya ilişkin olarak hem Banka’ya hem de Banka avukatına başvurulduğu belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hem Banka’nın hem Banka Avukatının savunması talep edilmiş olup Banka tarafından Kuruma intikal eden cevabi yazıda özetle;

  • Banka’nın alacağını tahsil etmek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak yasal takip ve diğer hukuki işlemler için gerekli kişisel verileri işlediği,
  • Söz konusu kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri uyarınca kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerine dayanılarak Banka’nın sözleşmeli avukatına aktarıldığı,
  • Gerek ilgili kişi gerek birinci haciz ihbarnamesi gönderilen üçüncü kişilere ait hiçbir kişisel verinin Banka tarafından paylaşılmadığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin düzenlendiği, birinci haciz ihbarnamesinin alacaklı vekilinin bildirdiği kişilere İcra Müdürlüklerince gönderildiği,
  • Düzenlenen ve gönderilen birinci haciz ihbarnamesinin İcra Müdürlüğü tarafından bizzat düzenlendiği ve gönderildiği, bankanın sözleşmeli avukatının ihbarnameye müdahale imkânı olmadığı, ihbarnamenin elektronik imzalandığı, Banka’nın şikayet konusu hususta herhangi bir sorumluluğunun bulunmadığı,
  • İlgili kişinin ürün ve hizmetleri kullanması nedeniyle başvurusu sırasında elde edilen kimlik bilgileri, iletişim bilgileri, finans bilgileri, müşteri işlem bilgileri kategorisindeki kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması hukuki sebebine dayalı olarak başvurulan ürün ve hizmetleri (vadesiz TL, ATM kartı, fastpay, internet/mobil bankacılığı yetkisi, sigorta, maaş ödemesi, fatura ödemesi, EFT işlemleri) sunabilmek amacıyla işlendiği,
  • Müşteriye sunulan aydınlatma metninde kişisel verilerin hangi amaç ve sebeplerle işlendiğinin belirtildiği 

ifade edilmiştir.

Bankanın avukatı tarafından Kuruma intikal eden cevabi yazıda ise özetle;

  • Borçlunun borcunu ödememesi sebebiyle kendisine ihbarname gönderildiği, ihbarnameye rağmen borcun ödenmemesi üzerine müvekkili Banka’nın alacağını tahsil amacıyla borçlu hakkında icra takibi başlatıldığı, borcun ödenmemesi üzerine icra müdürlüğünden haciz işlemlerinin başlatılması için talepte bulunulduğu, ancak yapılan sorgular neticesinde borçlunun SGK, araç ve tapu kaydının pasif olduğunun tespit edildiği,
  • Borçlunun üçüncü şahıslarda olan alacaklarının haczi için bankalara İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderildiği ve bankalardan olumsuz cevapların geldiği,
  • Menkul malların haczedilmesi için borçlunun adresine hacze gidildiği ancak adresten ayrıldığının tespit edildiği,
  • Menkul haczinden sonra borçlunun MERNİS kaydını düşürdüğü ve şu anda MERNİS adresinin bulunmadığının UYAP sorgu sonucuyla sabit olduğu,
  • Diğer tüm girişimlerin olumsuz çıkması sonucunda, müvekkilinin alacağının tahsili amacıyla borçlunun hak ve alacaklarının haczi için yapılan rutin işlemler arasında yer alan üçüncü kişilere haciz ihbarnamesi gönderilmesinin İcra Müdürlüğü'nden talep edildiği,
  • Bu talebin hukuki gerekçesinin, para alış verişlerinin aile bireyleri arasında çok sık rastlanılması ve ayrıca rızai miras sözleşmelerine çok sık rastlanılmasından kaynaklandığı,
  • İcra müdürlüğü tarafından talebin uygun görülerek üçüncü kişilere İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi hazırlandığı ve gönderildiği,
  • Haciz müzekkeresi icra müdürlüğü tarafından, matbu şablon müzekkere örneği üzerinden hazırlanmış olduğundan üçüncü kişilerin tamamına aynı müzekkere içerisinde haciz ihbarnamesi gönderildiği,
  • Yapılan işlemlerin tamamında İcra Müdürlüğünün karar ve onayı olduğu,
  • İcra müdürlüğünce hazırlanan haciz ihbarnamesinin, üçüncü kişilere Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kanunlarda açıkça öngörülme şartına uygun olarak gönderildiği,
  • İcra Müdürlüğü tarafından hazırlanıp gönderilen haciz ihbarnamesi haricinde üçüncü kişiler hakkında başka bir işlem yapılmadığı, bu nedenle kişisel verilerin işlenmesi gibi bir durumun söz konusu olmadığı ve müştekinin icra dosyasında taraf olarak yer almadığı için kişisel verilerin depo edilmesi gibi bir durumun da oluşmadığı
  • İlgili kişi tarafından İcra Müdürlüğünce gönderilen haciz ihbarnamesine cevaben borçlunun kendisinde herhangi bir alacağı bulunmadığına ilişkin beyan dilekçesinin icra dosyasına sunulduğu, bu cevaba istinaden haciz ihbarnamesinin fekki için talepte bulunulduğu ve İcra Müdürlüğünce fek müzekkeresi hazırlanarak üçüncü kişilere tebliğ edildiği, bu nedenle kişisel verilerin saklanması, imha edilmemesi gibi bir durumun söz konusu olmadığı ve hiçbir kişisel verinin saklanmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/10/2021 tarih ve 2021/1069 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kişisel verilerin hangi amaç ve vasıtayla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu tanımından hareketle somut olayda İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında düzenlenen haciz ihbarnamesinde yer alan üçüncü kişilerin alacaklı vekili tarafından icra müdürlüğüne bildirilmesi nedeniyle veri sorumlusunun Banka Avukatı olduğunun görüldüğü,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde “ (1) Hamiline ait olmıyan veya cirosu kabil bir senetle müstenit bulunmıyan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödiyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4’üncü fıkra hükümleri de üçüncü şahsa bildirilir. (2) Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. ” hükmünün yer aldığı,
  • Bu kapsamda, veri sorumlusunun vekili olduğu Banka adına borçlu tarafın yakınlarına 89/1 haciz ihbarnamesi göndermesinde, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan yükümlülüklerini yerine getirmek amacıyla ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanun’un 5’ inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı kanaatine varıldığı

değerlendirmelerden hareketle;

  • Bankanın somut olayda veri sorumlusu olmaması nedeniyle Kanun kapsamında hakkında yapılacak bir işlem olmadığına,
  • Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da Kanun kapsamında tesis edilecek bir işlem olmadığına

karar verilmiştir.

14.10.2021: “İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun KVKK’ya aykırı uygulamalarda bulunması”
Karar Tarihi : 14/10/2021
Karar No : 2021/1051
Konu Özeti : İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması

 

Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişiye cevap verilerek talebinin yerine getirilmiş olmasına rağmen ilgili kişi tarafından veri sorumlusunun cevabı beklenmeden Kurul’a şikâyette bulunulduğu;
  • İlgili kişinin platformda bulunan iletişim kanalı üzerinden “İş başvuruları ve görüşme sonrasında sistemlerinde bulunan adayların değerlendirilmesine yönelik, işverenlere sunulan ilgili kişiye ait tüm verilerin ve verilerden türetilmiş bilgilerin Kanunun 11’inci maddesinin bentleri uyarınca paylaşılması” talebini müteakip veri sorumlusunca ilgili kişi ile iletişime geçildiği; ilgili kişinin işveren ile planladıkları mülakata gitmediği, işverenin "bu durumu diğer işverenlere belirteceğini" söylediği, ilgili kişinin verilerinin paylaşıldığı kişileri ve verilerinin (işverenin ilgili kişi hakkında veri sorumlusu hizmet ortamında yaptığı değerlendirmeleri) diğer işverenler ile paylaşılıp paylaşılmadığını öğrenmek istediğini belirttiği; ilgili kişinin talebini yanıtlamak amacıyla öncelikle sözlü olarak iletişime geçilerek veri sorumlusu nezdinde işverenlerin adaylar hakkında gerçekleştirdiği değerlendirmelerin herhangi bir şekilde diğer işverenlerle paylaşılmadığının belirtildiği; ayrıca ilgili kişinin talebinin kayda sistematik olarak geçmesi amacıyla "Veri Sorumlusu Başvuru Formu" iletildiği ve bu formun doldurularak veri sorumlusuna başvuruda bulunabileceğinin ifade edildiği;
  • İlgili kişinin formu doldurarak veri sorumlusuna ilettiği, ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin tüm bentlerindeki haklarını kullanma talebinde bulunması üzerine bir yandan talebi yerine getirilirken bir yandan da söz konusu sürede ilgili kişiye ait kişisel verilerin işlenmesinin durdurularak talebi doğrultusunda 30 gün içerisinde Kanun ve ikincil mevzuata uygun şekilde kişisel verilerinin imha edileceği bilgisinin iletildiği, bunun üzerine ilgili kişinin kişisel verilerinin imha talebinde bulunmadığını, kişisel verilerinin aktarıldığı işverenlerin bilgilerini talep ettiğini ve veri sorumlusunun tutumunu Kurul’a şikâyet edeceğini belirttiği, aynı gün veri sorumlusunun ilgili kişi ile sözlü iletişime geçtiği ve talebinin karşılanacağını belirttiği, bununla birlikte ilgili kişinin veri sorumlusunun kasıtlı bir şekilde böyle cevap verdiğini ve Kurul’a şikâyette bulunduğunu ifade ettiği;
  • Buna rağmen ilgili kişinin veri sorumlusu bünyesinde yer alan verilerine o güne kadar erişen tüm işverenlerin bilgisinin ilgili kişi ile paylaşıldığı ve bunun ardından herhangi bir iletişim kurulmadığı, ilgili kişinin mevcut durumda hala platform üyesi olduğu ve platformu kullanmaya devam ettiği;
  • İlgili kişinin Kurum’a ilettiği şikâyet dilekçesinde yer alan ifadelerin aksine başvurusunun reddedilmediği, veri sorumlusunun ilgili kişinin talebini yerine getirmek adına başvuru sonrası derhal çalışmalara başladığı ve 7 gün gibi kısa bir süre içerisinde 2008 yılından bu yana işlenen çeşitli kişisel verileri ilgili kişinin kolayca ulaşabileceği bir formatta kendisine ilettiği;
  • Veri sorumlusunun Kanun ve ikincil düzenlemeleri uyarınca yürürlüğe koyduğu Kişisel Veri İşleme, Saklama ve İmha Politikasını özenle uygulamakta olduğu, ilgili kişinin talebi üzerine kişisel verileri silme/imha etme işlemine başlandığı fakat böyle bir talebinin olmadığının anlaşıldığı anda işlemin durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığı;
  • İşverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığı, işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiği, veri sorumlusu nezdinde çalışan adaylarının platforma yüklemiş olduğu kişisel verileri kullanılarak herhangi bir veri türetilmediği, yalnızca işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve bu kişisel veriler için işverenlerin veri sorumlusu olup bu bilgilerin üretilmesine ilişkin kendilerinin herhangi bir dahlinin bulunmadığı;
  • İlgili kişinin Kanun yürürlüğe girmeden evvel bir dönemde platforma üye olduğu ve yine Kanun’un Geçici 1’inci maddesi uyarınca da geçiş süreci içerisinde aksine bir irade beyanında bulunmadığı, yine de firmanın tüm veri işleme süreçlerine ilişkin kapsamlı bir uyum süreci başlattığı, VERBİS kaydını da zamanında tamamlayarak, şeffaf ve hesap verebilir şekilde kişisel verilerin korunması için gerekli teknik ve idari tedbirleri aldığı;
  • Veri sorumlusunun ilgili kişiye sunduğu hizmetler sebebiyle ilgili kişiye ait kimlik bilgilerinin, iletişim bilgilerinin, mesleki deneyim bilgisinin,  aldığı sertifika ve eğitim bilgilerinin, yabancı dil bilgisinin, kullanabildiği bilgisayar programlarının, görsel veri olarak özgeçmişte yer alan fotoğraf ve diğer bilgiler olarak da hobilerinin, ilgi alanları ve gerçekleştirilen projelere ilişkin bilgilerin işlendiği, ilgili kişilere sunulan “Kişisel Verilerinizin Korunması Hakkında Aday Aydınlatma Metni”nde (Aydınlatma Metni) platforma üye olan adayların hangi kişisel verilerinin işlendiğinin belirtildiği ancak Aydınlatma Metni'nde yer alan tüm veri kategorilerinin veri sorumlusunca işlenmediği, ilgili kişilerin iş ilanlarına başvurmak için hangi bilgileri paylaşacaklarını kendilerinin belirlediği;
  • İlgili kişinin 21.03.2008 tarihinde “Hizmet Sözleşmesi”ni kabul ederek platforma üye olduğu, Hizmet Sözleşmesi uyarınca ve ilgili kişiye sunulan hizmet kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiği, zira platformun kullanım amacı ve üyelere sunulan hizmet kapsamında sayılan kişisel verilerin işlenmesinin zaruri olduğu, ayrıca üyelerin paylaşacakları kişisel verileri kendilerinin belirlediği, bu nedenle ilgili kişiden açık rıza alınmadığı ve yukarıda belirtilen hukuki sebebe dayanılarak kişisel verilerinin işlendiği;
  • İlgili kişinin kişisel verilerinin platforma üye olan işverenler ile paylaşıldığı, adayların işverenler ile doğrudan özgeçmiş paylaşımı yapabildiği gibi işverenlerin de platform üzerinden adayların özgeçmişlerine erişebildiği, ilgili kişinin özgeçmişinde yer alan kişisel verilere hangi işverenlerin ne zaman eriştiği de belli olacak şekilde ilgili kişiye sunulduğu;
  • Veri sorumlusunun ilgili kişileri aydınlattığı ölçüde ve Aydınlatma Metni'nde belirttiği amaçlar doğrultusunda kişisel verilerini kullandığı, bu amaçların dışında ve bu amaçları aşacak ölçüde kişisel veri kullanılmasına izin vermediği, ilgili kişinin talebinin yerine getirildiği ve kişisel verilerinin onayı olmadan silinmesi veya imha edilmesi gibi bir durumun söz konusu olmadığı 

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.”
hükmünü amir olduğu,

 

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kişisel verilerine erişim talebinin yerine getirilmemesi konusundaki iddiasına ilişkin olarak;  ilgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurula şikâyette bulunduğu anlaşılmış olmakla birlikte, ilgili kişinin kişisel verilerine erişim talebinin Kurula şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı dolayısıyla ilgili kişi tarafından yapılan iş başvurularına ilişkin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği görüldüğünden, ilgili kişinin talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin / imha edileceğinin bildirilmesi hususundaki iddialarına yönelik olarak veri sorumlusunca ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin (1) numaralı fıkrasının tüm bentlerindeki haklarını kullanma talebinde bulunması nedeniyle söz konusu fıkranın (e) bendinde yer alan kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması halinde silme ve imhaya yönelik işlemin derhal durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığının belirtildiği görülmüş olup; ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusu beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kurum’a sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/ imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması iddialarına ilişkin olarak ilgili kişinin bu iddiaya yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığı 

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, 
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına 

karar verilmiştir.

17.02.2022: “Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi”
Karar Tarihi : 17/02/2022
Karar No : 2022/137
Konu Özeti : Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

 

Kuruma intikal ettirilen ihbar dilekçesinde; veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, bu durumun 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılması talep edilmiştir. İhbar dilekçesinde ayrıca; veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır. şeklinde bilgilerin yer aldığı ekran görüntüsüne yer verildiği görülmüştür.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Veri sorumlusunun gerek yerleşik olduğu iş yerlerinde gerekse de web sitesinde perakende satış hizmeti sunduğu ve bu hizmete ilişkin müşteri/ziyaretçi/üyelerden kanundan kaynaklanan veya satış sözleşmesinin gereklerinden kaynaklanan kişisel verileri satış sözleşmesini gereği gibi ifa etmek amacıyla otomatik olan yahut otomatik olmayan yollarla bir veri kayıt sisteminin parçası olmak üzere uhdesinde bulundurduğu,
  • Ayrıca kredilendirmeye esas olarak senetle yapılan alışverişler için sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan ilgili kişilere ait kişisel, mali ve ekonomik verilerin işlendiği, ilgili kişilerden istenen bu verilerin işleme ilkelerine tam olarak uyumlu olduğu,
  • Veri sorumlusu tarafından verilerin; kredilendirmeye esas teşkil etme, ilgili kişilerin kimlik bilgilerini, mali gücünü ve iletişim bilgilerini doğrulama, mal/hizmet satış süreçlerinin yürütülmesi, müşteri ilişkileri süreçlerinin yönetilmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, hukuk işlerinin takibi ve yürütülmesi amaçlarıyla işlendiği, saklandığı ve gerektiğinde imha edildiği,
  • İnternet sitelerine üye olan kişilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri bilgilerinin işlendiği, bu bilgilerin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği, üye olmayıp yalnızca ziyaretçi olan kişilerin; IP adresi, site üzerinde gezinme bilgilerinin tanıtım yapmak, promosyonlar ve pazarlama teklifleri sunmak, sitenin içeriğini kullanıcılara göre iyileştirmek ve/veya tercihlerini belirlemek amacıyla işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri, otomatik ödeme bilgilerinin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği,
  • Firmalarının mağaza satışlarının büyük kısmını oluşturan "Sözleşmeli Alışveriş"ler için internet üzerinden uygun bir ekran oluşturulmak istendiği, sözleşme ile alışverişin Türk Borçlar Kanununun (TBK) 8 inci maddesinde yer alan icaba davet niteliğinde bir faaliyet olduğu, bu alışveriş bakımından firmanın kendi iç bünyesinde kredilendirme çalışması yapıldığı, ilk olarak muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği, internet sitesinde bulunan sözleşmeli satış ile ilgili olarak alınan verilerin yalnızca yukarıda belirtilen veriler olduğu, bunun haricinde e-Devlet şifresinin taraflarınca istenmediği ve ilgili alanın başkaca bir görselin parçası olduğu, format olarak dahi girilip doldurabilen bir alan olmadığı, jpg formatında olan bir alan olduğu ve taraflarınca fark edilmesiyle ivedilikle kaldırıldığı, bu alanda yer alan e-Devlet şifresi girişi için internet sitelerinde teknik donanım dahi bulunmadığı, bu hususla ilgili kurumun yapacağı her türlü denetime firmalarının açık olduğu, site üzerinde yer alan yazılımda ve veri tabanlarında bu hususa ilişkin hiçbir veri bulunmadığı, hiç kimsenin bu şekilde oldukça hassas ve kişiye özel olan verisinin işlenmediği, yalnızca icaba davet niteliğinde olacak şekilde genel nitelikli verilerin taraflarınca işlendiği ve kredilendirme yapma ve ödeme gücünün tespiti için iletişim numarasından kişi ile iletişime geçilerek bu şekilde kimlik doğrulaması yapıldığı, taraflarının e-Devlet şifresi alma gibi bir uygulaması bulunmadığından bu verilerle başkaca hiçbir verinin de elde edilmediği

belirtilerek kişisel verilerin korunmasına ilişkin taraflarınca alınan idari ve teknik tedbirlerle ilgili başkaca bilgilere ve açıklamalara yer verilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 17/02/2022 tarih ve 2022/137 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında da “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, mezkur maddenin (5) numaralı fıkrasında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceğinin hüküm altına alındığı,
  • Somut olayda veri sorumlusu tarafından internet sitesinde e-Devlet şifresinin talep edildiği alanın jpg formatında olduğu iddia edilmekle birlikte söz konusu internet sitesine ilişkin ekran görüntüsü incelendiğinde; Kasaya Git sekmesi altındaki sayfada kırmızı renk ile yazılmış “Dikkat Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi Onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” bilgilendirmesinin yer aldığı ve e-Devlet şifresinin girilebildiği bir kutucuk ile SİPARİŞİ ONAYLIYORUM başlıklı bir bölüm olduğu, dolayısıyla, ihbar dilekçesi ekinde yer verilen ekran görüntüsünden yazı içeriğinde butona basılması ile otomatik olarak doğrulama yapılacağının belirtilmesi ve e-Devlet şifresinin girildiği bir alan olduğunun anlaşılması noktasından hareketle e-Devlet şifresi girileceği belirtilen alanın jpg formatında olmasının herhangi bir amaca hizmet etmeyeceği, nitekim veri sorumlusu da her ne kadar e-Devlet şifresinin taraflarınca istenmediğini, ilgili alanın başkaca bir görselin parçası olduğunu, doldurulamayacak ve jpg formatında bir alan olduğunu iddia etse de bu durumu tevsik edici bir belge sunmadığı, hatta ihbara konu ekran görüntüsünün taraflarınca fark edilmesiyle ivedilikle kaldırıldığını beyan ettiği,
  • Bu kapsamda, ihbara konu ekran görüntüsünde yer alan sayfanın, veri sorumlusunun e-mağaza uygulamasında kontrolleri dışında görüntülenebilir olmasının mümkün olamayacağı, söz konusu olay bu şekilde vuku bulmuş olsa dahi bu durumun veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiği, senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle, ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları,
  • Öte yandan, söz konusu e-Devlet şifresinin bir anlam ifade edebilmesi için müşteriler tarafından öncelikle T.C. kimlik numarasının veri sorumlusuna sağlanmış olması gerektiği, veri sorumlusu tarafından üye olan kişilerin ad-soyadı, iletişim, adres, parola, alışveriş ve ödeme yöntemleri bilgilerinin işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin ise ad-soyadı, iletişim, adres, parola, alışveriş, ödeme yöntemleri ve otomatik ödeme bilgilerinin işlendiği belirtilmekle birlikte Kuruma iletilen aydınlatma metinlerinde taraflarınca T.C. kimlik numarasının da alındığının beyan edildiği, bu hususa ilişkin olarak internet sitesinde yapılan incelemede Hesap Oluştur sayfasında üyelik için T.C. kimlik no, ad, soyadı, e-posta, telefon, adres (il, ilçe, mahalle, cadde, sokak, açık adres) ve parola bilgilerinin talep edildiği ve “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.” ifadelerine yer verildiği,
  • Ayrıca, internet sitesine rastgele bir T.C. kimlik numarası ile üye olunmak istendiğinde “Girdiğiniz Tc kimlik numarası geçersizdir.” uyarısı ile karşılaşıldığı, söz konusu T.C. kimlik numaralarının geçerli ya da geçersiz olduğuna ilişkin doğrulamanın nasıl bir veri tabanı ile sağlandığının anlaşılamadığı,
  • Üyelik oluşturma sayfasında T.C. kimlik numarası girilmesi gereken alanlara rastgele numaralar girilerek deneme yapıldığı, bu denemede *********** şeklinde bir numara girilmesi sonrasında aktifleşen alanlarda otomatik olarak A*** A*** İ*** Cad. S*** Sok. No:** bilgilerinin görüntülendiği, bu şekilde birkaç tane daha deneme yapıldığı ve farklı kişilerin ad, soyadı ve adres bilgilerinin ekrana otomatik olarak yansıdığı, söz konusu T.C. kimlik numaralarının geçersiz olabileceği kanaatine varılmakla birlikte bu üyeliklerin veri sorumlusu tarafından doğrulama sistemi getirilmesi öncesinde müşteriler tarafından oluşturulan gerçek hesaplar veya veri sorumlusu tarafından deneme amaçlı oluşturulan hesaplar olabileceği,
  • Söz konusu ihtimallere karşı geçerli bir T.C. kimlik numarası ile üyelik oluşturulduğu, sonrasında aynı T.C. kimlik numarasının hesap oluşturma sayfasına girildiği ve oluşturulan hesap bilgilerinin üyelik sayfasında otomatik olarak yer aldığı, buradan hareketle, yalnızca bir kişinin T.C. kimlik numarasını ve söz konusu sayfaya üye olduğunu bilen bir kişinin ilgili kişinin adres bilgilerine ulaşmasının olası olduğu,
  • Bununla birlikte söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği,
  • Resen inceleme konusu çerçevesinde internette yapılan araştırmada; veri sorumlusunun internet sitesinden yaptıkları alışverişlerle ilgili yaşadıkları sorunları paylaşan farklı kişilerin olduğu, bu kişilerin şikâyetlerinde e-Devlet şifresini de veri sorumlusu ile paylaştıklarını ifade ettikleri ve bu durumdan endişe duyduklarının görüldüğü,
  • Bu çerçevede resen incelemeye konu ihbar başvurusu, veri sorumlusu hakkında internet sayfalarında yer verilen şikâyetler ile veri sorumlusundan alınan bilgiler ışığında, veri sorumlusu tarafından ilgili kişilerden senetli alışveriş yapabilmek için e-Devlet şifresi, internet sayfasında üyelik oluşturabilmek için de T.C. kimlik numarası bilgisinin temin edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
  • Bununla birlikte, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; açık rızanın Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği, rızanın özgür iradeyle verilmiş olmasının kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması ile sağlandığı, birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet verebileceği, somut olayda online bir alışveriş sitesine üye olmak ve senetli alışveriş yapmak için alınan kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa (Veri Sorumlusunun hesap oluşturma sayfasında yer alan bilgi: “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.”, veri sorumlusunun Kasaya Git sekmesinde yer alan bilgi: Dikkat Senetli alışverişte onay süreciniz başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz.), bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede, ilgili kişilerden senetli alışverişlerde e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarasının paylaşılmasının zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarına dayanılmaksızın gerçekleştirildiği,
  • Öte yandan, veri sorumlusu tarafından kredilendirmeye esas olarak senetle yapılan alışveriş için ilgili kişilere ait sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, bu kapsamda, veri sorumlusu her ne kadar sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan veriler olduğunu iddia etse de ödeme gücü tespit edilmeksizin de sözleşmenin kurulmasının mümkün olabileceği ile söz konusu ödemenin aksaması/yapılmaması halinde hukuki yollara başvurulması suretiyle ödemenin yapılmasının sağlanabileceği kanaatine varıldığı, diğer bir deyişle, veri sorumlusu tarafından ilgili kişilerin ekonomik durumuna ilişkin kişisel verilerin işlendiği ve söz konusu verilerin işlenmesinin hukuka uygunluğu noktasında belirsizlik bulunduğu

tespit ve değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmakta olup bu hususların Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına

karar verilmiştir.

06.01.2022: “Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılması”
Karar Tarihi : 06/01/2022
Karar No : 2022/13
Konu Özeti : İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın başvurunun yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup veri sorumlusu tarafından Kuruma herhangi bir cevap verilmemiştir.

Bu itibarla yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise sayılan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görüldüğü, şikayete konu iddialara ilişkin olarak veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, veri sorumlusunu muhatap yazının tebliğ edilmiş olmasına rağmen Kanunun 15 inci maddesinin (3) numaralı fıkrasında öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, kişinin adı, soyadı ve fotoğrafının kişisel veri niteliğini haiz olduğu konusunda tereddüt olmamakla birlikte kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin kişisel veri niteliğine haiz olup olmadığı hususunun ayrıca değerlendirilmesi gerektiği, sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirildiğinden kişisel veri niteliğini haiz olduğu, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendine göre; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi hâlinde Kanun hükümlerinin uygulanmayacağının hüküm altına alınmış olduğu, Anayasanın 28 inci maddesinde düzenlenen basın özgürlüğünün Anayasanın 26 ncı maddesinde düzenlenen düşünceyi açıklama ve yayma özgürlüğünün bir yansıması olarak kabul edildiği, demokratik toplumlarda basının en önemli görevinin, kamu yararını ilgilendiren olay ve konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak olduğu ve yaptığı bu görev nedeniyle basına “haber verme hakkı ve görevi” tanınmış olduğu, 
  • Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu,  dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği ve bunun için temel ölçütün ise kamu yararı olduğu, gerek yazılı ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunmasının gerektiği,
  • Haber başlığında ilgili kişinin yalnızca üniversiteyi kazanan gençlerin sevincinden bahisle T.C. kimlik numarası maskelenerek ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer verilmiş olduğu, haberde başkaca bir bilgiye veya belgeye yer verilmediği, bu bilgilerin kullanılarak yapılan haber kapsamındaki kişisel verilerin kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi gerektiği, 
  • Bu kapsamda, biçim ve öz arasındaki denge açısından haberlerde kullanılan dil ve ifadenin gerektirdiği ölçüde olduğu ve haberlerin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varılması sebebiyle habere konu kişisel veriler açısından öz ile biçim arasındaki denge kriterine muhalefet edilmediği anlaşılmakla beraber, söz konusu haberin ilgili kişinin yüksek bir başarısı olduğundan bahisle yapılmadığı, yalnızca üniversiteyi kazanan gençlerden birinin örneğinin verildiğinin görüldüğü, bu sebeple haberin toplumda sık rastlanan bir olay olduğu ve haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği ve söz konusu kişisel veri işleme faaliyetinin istisna kapsamında olmadığının görüldüğü,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin ikinci fıkrasının (d) bendinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”nın bir kişisel veri işleme şartı olarak düzenlendiği, Yükseköğretim Kurumları SınavıÖlçme, Seçme ve Yerleştirme Merkezi tarafından yapılan bir sınav olup sınav sonucunun ancak kişinin oluşturduğu bir şifre ve T.C. kimlik numarası ile sorgulanabildiği, bu bilgiden hareketle ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanının ilk olarak ilgili kişi tarafından yayımlanması suretiyle alenileştirilmiş olabileceği ihtimalinin gündeme geldiği, ancak veri sorumlusunun şikâyete ilişkin bilgi ve belge talebine cevap vermeyerek savunma hakkını kullanmamış olması nedeniyle ilgili kişinin kişisel verilerinin nereden ve nasıl elde edildiği ve kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı, Kanunun kişisel verilerin işleme şartlarının düzenlendiği 5 ve 6 ncı maddelerinde kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin,  veri sorumlusu tarafından Kanunda yer alan hangi hukuka uygunluk sebebine dayanılarak kişisel veri işlendiğinin belirtilmemiş olması nedeniyle kişisel verilerin hukuka aykırı olarak işlendiği yönündeki karineye dayanarak veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesine göre veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, veri sorumlusunun ilgili kişinin kişisel veri niteliğini haiz adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını hukuka aykırı olarak işlemesi nedeniyle Kanunun 12 nci maddesinde yer alan yükümlülüklerine aykırı hareket ettiği,
  • 5326 sayılı Kabahatler Kanununun “İdari Para Cezaları” başlıklı 17 nci maddesinin ikinci fıkrasına göre idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağının hüküm altına alındığı, 
  • Karar tarihi itibariyle veri sorumlusuna ait internet sitesinde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanının paylaşıldığı haberin kaldırılmış olduğunun görüldüğü

değerlendirmelerinden hareketle;

  • Şikayete konu kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına

karar verilmiştir.

23.12.2021: “Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi”
Karar Tarihi : 23/12/2021
Karar No : 2021/1324
Konu Özeti : Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

 

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;

  • 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği,
  • Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
  • 25.03.2021 tarihinde gelen alarmlar incelediğinde şüpheli bir davranış olduğunun tespit edildiği,
  • Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği, 
  • İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği,
  • Saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • İhlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;

  • Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
  • İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
  • Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu,
  • 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
  • Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
  • Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği, 
  • Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu 

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına

karar verilmiştir.

02.12.2021: “İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1210
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kullanmakta olduğu cep telefonu numarasına 0850 *** ** 77, 0216 *** ** 70 ve 0850 *** ** 15 numaralarından farklı tarihlerde aramalar gerçekleştirilerek Digiturk kampanyaları hakkında bilgilendirmede bulunulduğu, yapılan aramalarda kendilerinin Digiturk bayisi olunduğunun belirtildiği,  akabinde Digiturk hizmetlerinin reklam ve pazarlamasının yapılması amacıyla 0850 *** ** 82 numaralı telefon üzerinden ilgili kişiye SMS gönderildiği, ancak iletişim bilgilerinin ticari elektronik ileti gönderilmesi suretiyle işlenmesi hususunda açık rızasının bulunmadığı, bu anlamda herhangi bir işleme şartına dayanmaksızın kişisel verilerinin hukuka aykırı olarak işlendiği, adı geçen Şirket’e 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesindeki hakları kapsamında başvuruda bulunduğu, bu başvuruya karşılık verilen cevapta ilgili kişinin Şirket nezdinde abonelik kaydının bulunmaması nedeniyle ilgili kişinin herhangi bir kişisel verisinin sistemlerinde yer almadığı, söz konusu ticari iletilerin kendileri tarafından gönderilmediği ve başvuruda belirtilen telefon numaralarının Şirket’lerine ait olmadığı yönünde bilgi verildiği belirtilerek konu ile ilgili gerekli incelemenin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde konunun Digiturk’ü ilgilendiren boyutu dikkate alınarak Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nden (Krea İçerik Hizmetleri) savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirket nezdinde ilgili kişinin abonelik kaydının bulunmadığı ve ilgili kişinin Şirket’e yaptığı başvurudan önce Şirket sistemlerinde ilgili kişiye ait herhangi bir kişisel verinin yer almadığı, 
  • İlgili kişinin başvurusunda belirtilen telefon numaralarının Şirket’e ait olmadığı ve söz konusu aramalar ile SMS gönderimlerinin Şirket tarafından gerçekleştirilmediği, 
  • Söz konusu telefon numaralarının Şirket bayilerinden birine ait olup olmadığının tespit edilemediği, zira bayilerin Şirket’ten bağımsız şekilde telefon numaraları elde etmiş olabilecekleri, 
  • Şirket ürün ve hizmetlerinin son kullanıcılara satışının bir kısmına aracılık eden bayilerin tüm pazarlama süreçlerinde Şirket’ten bağımsız şekilde ayrı birer veri sorumlusu sıfatı ile hareket ettikleri, Şirket’ten herhangi bir emir veya talimat almadıkları ve bu konuda Şirket tarafından herhangi bir yönlendirmede bulunulmadığı, bu aramalar üzerinde Şirket’in herhangi bir denetim imkânının bulunmadığı ve dolayısıyla şikâyete konu olayda Şirket’in veri sorumlusu olarak hareket etmediği,
  • Şirket tarafından bayilere mevcut ya da potansiyel müşterilere ilişkin herhangi bir kişisel veri aktarılmadığı ve ürünlerin pazarlanması amacıyla iletişim bilgisi listeleri sağlanması gibi uygulamaların söz konusu olmadığı

ifade edilmiş ve ilgili kişiye yapılan aramada belirtilen bayinin (Bayi) Şirket sisteminde hangi unvanla kayıtlı bulunduğu bilgisi Kurumumuzla paylaşılmıştır. 

Krea İçerik Hizmetleri’nden alınan cevabi yazının incelenmesinin ardından, ilgili kişinin başvurusunda belirtilen telefon hatlarını tahsis eden işletmeciler tespit edilmiş ve söz konusu telefon hatlarının hangi kişi/şirketlere tahsis edildiği ile bu kapsamda yapılan sözleşmenin içeriği hususlarında bahse konu işletmecilerden bilgi ve belge talep edilmiştir. İlgili işletmecilerden alınan cevabi yazıların incelenmesi neticesinde, 0850 *** ** 77 numaralı hattın Krea İçerik Hizmetleri’nin cevabi yazısında da unvanı belirtilen Bayi’ye, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların M.D. isimli şahsa (M. İletişim); 0850 *** ** 82 numaralı hattın ise M.A. isimli şahsa tahsis edildiği anlaşılmıştır. 

İnceleme sürecinde ulaşılan bilgiler çerçevesinde, telefon hatlarının tahsis edildiği kişilerden şikâyet konusu olaya ilişkin savunmaları talep edilmiş olup bu kapsamda Bayi’den alınan cevabi yazıda özetle; 

  • Kendilerinin Krea İçerik Hizmetleri’nin bayisi olduğu,
  • İlgili kişinin rızası olmaksızın aranmasının Şirket’in operatör-çağrı merkezi bölümünü ilgilendirdiği ve operatör hizmetinin M.D. isimli şahsa (M. İletişim) devredildiği,
  • Taşeronun numaraları nasıl temin ettiği, görüşme içerikleri ve ilgili kişiye yönelik aramalar gerçekleştirip gerçekleştirmediği hususlarında bilgi sahibi olunmadığı ve bu konudaki tüm sorumluluğun taşeron firmaya ait olduğu

belirtilmiş ve taşeron M.D. (M.İletişim) ile aralarındaki taşeronluk sözleşmesi gönderilmiştir.

İşletmeciler ile yapılan yazışmalardan, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların kendisine tahsis edildiği görülen ve Bayi’nin cevabi yazısından da Bayi’nin taşeronu olduğu anlaşılan M.D. isimli şahıstan (M.İletişim) alınan cevabi yazıda özetle;

  • Krea İçerik Hizmetleri’nin söz konusu bayisine taşeron çağrı merkezi hizmeti verilmekte olduğu,
  • İlgili kişinin telefon numarasına reklam ve tanıtım amaçlı arama yapıldığı, 
  • Sistemlerinde kayıtlı olan verilerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun yürürlük tarihinden önce numara türetme yöntemiyle elde edilmiş olduğu, 
  • Şikâyete konu olayın 6698 sayılı Kanun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde değerlendirilmesi gerektiği

ifade edilmiştir. 

M.A isimli şahıstan alınan cevabi yazıda ise özetle; 

  • Bazı dönemlerde sosyal medya hesapları üzerinden verilen reklamların, kişilerin sosyal medya hesaplarında karşılarına çıktığı ve bu kapsamda kendi istekleri ile form doldurmalarının ardından kendilerine kampanya duyurusu yapıldığı,
  • İlgili kişinin bir internet sitesi üzerinden doldurduğu formun ekte sunulduğu

belirtilmiş ve kişilere arama yapılmasında kullanılan sistemin çalışma şekline ilişkin bilgi verilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 02/12/2021 tarih ve 2021/1210 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”; (ğ) bendinde ise veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” şeklinde tanımlandığı; Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”nde söz konusu kavramların açıklandığı bölümde, veri işleyenin faaliyetlerinin veri işlemenin daha çok teknik kısımları ile sınırlı olduğunun, veri sorumlusunun ise kişisel verilerin işlenmesine ilişkin karar alma yetkisine sahip olduğunun ve kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağını belirlediğinin ifade edildiği; bu kapsamda “kişisel verilerin toplanması ve toplama yöntemi”, “toplanacak kişisel veri türleri”, “toplanan verilerin hangi amaçlarla kullanılacağı”, “hangi bireylerin kişisel verilerinin toplanacağı”, “toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı” ve “verilerin ne kadar süreyle saklanacağı” gibi hususlara ilişkin karar alma yetkisinin kimde bulunduğunun veri sorumlusunun tespitinde önem taşıdığı,
  • Krea İçerik Hizmetleri ile Bayi arasındaki ilişkiye yönelik olarak bir değerlendirme yapıldığında, ilgili kişinin kişisel verisinin işlenmesi faaliyetine ilişkin karar alma ve talimat verme yetkisinin Krea İçerik Hizmetleri’nde bulunduğu durumda Krea İçerik Hizmetleri’nin veri sorumlusu, kendisine verilen talimatlar çerçevesinde hareket eden Bayi’nin ise veri işleyen sıfatını haiz olacağının düşünülebileceği; ancak konuya ilişkin olarak tarafların Kuruma sundukları beyanlar değerlendirildiğinde Krea İçerik Hizmetleri’nin somut olayda veri sorumlusu olarak hareket ettiğine dair bir tespitte bulunulamadığı,
  • Öte yandan Bayi ile taşeronu M.D. (M. İletişim) arasındaki taşeronluk sözleşmesi incelendiğinde, Bayi nezdinde kayıtlı olan 0850 *** ** 77 numaralı hattın kullanımı için taşeron firmanın yetkilendirildiği, bu hattın kullanımı ile ilişkili sorumluluğun taşerona bırakıldığı ve sözleşmenin içeriğinde taşeronun Bayi’nin verdiği talimatlar çerçevesinde faaliyette bulunduğunu gösterir nitelikte hükümlerin yer almadığı görüldüğünden, şikâyete konu olayda Bayi’nin veri sorumlusu olarak nitelendirilebileceğine yönelik bir tespitte bulunulamadığı,
  • Diğer taraftan inceleme sürecinde ulaşılan bilgiler arasında, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların somut olayda taşeron M.D. isimli şahsa (M. İletişim) tahsis edildiği bilgisinin bulunduğu, mevcut bilgi ve belgelerden söz konusu iki numaranın Bayi ile olan alt işveren ilişkisinden bağımsız olarak M.D. tarafından kullanılmakta olduğu sonucuna ulaşıldığı, ilgili kişinin söz konusu numaralar üzerinden kendisine arama yapıldığını belirttiği tarihler ile M.D. isimli şahsın (M. İletişim) savunmasında sunulan tarihlerin uyuştuğu ve sisteminde kayıtlı telefon numaralarının “numara türetme yöntemi” ile elde edilmiş olduğunun beyan edildiği, 
  • Bu kapsamda M.D.’nin (M. İletişim) söz konusu aramalara ilişkin olarak başka kişilerce talimatlandırıldığını gösteren bir bilgi ve belgenin mevcut olmadığı, irtibata geçilecek kişileri belirleme konusunda yetkinin kendisinde bulunduğu, kendi inisiyatifi ile numara türetmek suretiyle ilgili kişinin telefon numarası verisine ulaştığı ve işletmesinin 6102 sayılı Türk Ticaret Kanunu kapsamında tüzel kişiliği bulunmadığından hareketle M.D.’nin somut olayda veri sorumlusu sıfatını haiz olduğu,
  • 0850 *** ** 82 numaralı hattın tahsis edildiği M.A. açısından bir değerlendirme yapıldığında ise M.A.’nın, ilgili kişinin bir internet sitesi üzerinden doldurduğunu iddia ettiği formu sunduğu, kendi veri tabanını oluşturan ve bu veri tabanını kullanmak suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işleyerek kendisine ticari elektronik ileti gönderimi yapan M.A.’nın somut olay kapsamında veri sorumlusu sıfatını haiz olduğu, 
  • İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, ürün tanıtımı ve pazarlama yapılması amacıyla aranması /SMS gönderilmesi suretiyle işlenmesi, Kanunun 3 üncü maddesi uyarınca kişisel veri işleme faaliyeti teşkil ettiğinden bu işlemenin hukuka uygun şekilde gerçekleştirildiğinden bahsedebilmek için Kanunun 5 inci maddesinde sayılan şartlardan birinin bulunması gerektiği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin; (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
  • Şikâyete konu kişisel veri işleme faaliyetinde veri sorumlularından biri olduğu değerlendirilen M.D. (M. İletişim) tarafından, somut olayın 6698 sayılı Kanunun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde ele alınması gerektiği iddia edilmekle birlikte ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ileti gönderim sürecinin kişisel verilerin korunmasına ilişkin mevzuata da uygun olmasının beklendiği ve M.D.’nin (M. İletişim) sisteminde kayıtlı verilerin numara türetme yöntemi ile elde edildiğine yönelik beyanı esas alındığında ilgili kişinin telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığının anlaşıldığı,
  • Şikâyete konu olayda diğer veri sorumlusu olduğu sonucuna varılan M.A. isimli şahsın kişisel veri işleme faaliyeti açısından bir değerlendirme yapıldığında ise ilgili kişinin bir internet sitesi üzerinden doldurduğu iddia edilen formun geçerliliğinin sorgulanmaya muhtaç olduğu, zira ilgili formun internet sitesinde gösterilen biçimde ve log kaydı veya benzeri bir formatta Kuruma sunulmadığı, bunun yerine ilgili kişinin cep telefonu numarasının ve başvuru tarihinin M.A.’nın el yazısı ile yazıldığı, “onay veriyorum” kutucuğunun işaretlendiği ve formun M.A.’nın ismi ve telefon numarası yazılarak yine M.A.’nın kendisi tarafından imzalandığı görüldüğünden M.A.’nın iddia ettiği üzere formun ilgili kişi tarafından doldurulduğuna yönelik yeterli kanaatin oluşmadığı ve sunulan bu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği 

değerlendirmelerinden hareketle,

  • Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi ile Bayi’nin somut olayda veri sorumlusu olarak hareket ettiklerine yönelik bir tespitte bulunulamadığından anılan Şirketler hakkında Kanunun 12 nci maddesi kapsamında tesis edilecek bir işlem bulunmadığına,
  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığı, dolayısıyla Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket edildiği kanaatine varıldığından veri sorumlusu M.D. hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • Şikâyete konu olayda veri sorumlusu olarak değerlendirilen M.A. isimli şahsın Kuruma sunduğu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği dikkate alındığında, ilgili kişinin kişisel verisinin işlenmesine ilişkin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmayan veri sorumlusu M.A. hakkında Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • İlgili kişi tarafından kullanılmakta olan telefon numarası verisinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda M.D. ve M.A.’nın talimatlandırılmasına,
  • Öte yandan, yeni müşteri kazandırma süreçlerinde Kanuna uyum hususunda azami dikkat ve özenin gösterilmesi hususunda bayilerini yönlendirmesi/bilgilendirmesi ve bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi hususunda Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nin talimatlandırılmasına

karar verilmiştir. 

30.09.2021: “Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi”
Karar Tarihi : 30/09/2021
Karar No : 2021/993
Konu Özeti : Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderildiği, kargo gönderim kodu ile yapılan sorguda faturanın bir firmaya teslim edilen kargo işlemine ait olduğunun görüldüğü, faturada yer alan ad, soyadı, adres, e-posta adresi, T.C. kimlik numarası gibi kişisel verilerinin, satın alma işlemini gerçekleştiren firmaya aktarıldığı, konuya ilişkin veri sorumlusuna başvurduğu, verilen yanıtta ise faturalandırma işleminin sehven ilgili kişi adına yapıldığı ve ilgili kişinin bilgilerinin bir kamu kurumu niteliğindeki meslek kuruluşu (meslek kuruluşu) ile veri sorumlusu arasında imzalanan, ilgili meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında Şirketleri arşivinde bulunduğunun belirtildiği, ilgili meslek kuruluşunun hukuka aykırı şekilde veri sorumlusuna aktardığı kişisel verilerin, veri sorumlusu tarafından kanuni işleme şartına dayanmaksızın işlendiği ve ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu kargo şirketi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin 2018-2020 yılları arasında alıcı müşteri olarak kaydının bulunduğu, bu kayıtlarda ad, soyadı, adres, telefon numarası, T.C. kimlik numarası olmak üzeri belirli kişisel verilerinin yer aldığı,
  • Kargo gönderilerinin alıcı tarafına ait kişisel verilerin kargo taşıma sözleşmesinin gereği olarak işlendiği, bu kişisel verilerin 6475 sayılı Posta Hizmetleri Kanunu, Posta Sektörüne İlişkin Yetkilendirme Yönetmeliği, Posta Hizmetlerinin Sunulmasına İlişkin Yönetmelik, Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar başta olmak üzere ilgili mevzuat hükümleri uyarınca zorunlu olarak işlendiği, söz konusu kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebeplerine dayanarak işlendiği,
  • Türk Ticaret Kanununun 855 inci maddesi uyarınca ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmek üzere, her bir taşıma için ayrı ayrı olmak üzere 3 yıl, 5 yıl ve 10 yıllık sürelerle kişisel verilerin saklandığı,
  • İlgili kişinin şikâyetine konu kişisel verilerinin, bir meslek kuruluşu ile imzalanan ve söz konusu meslek kuruluşunun üyelerinin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında veri sorumlusunun arşivinde bulunduğu,
  • Şirketin ana müşterisi olan meslek kuruluşu ile yapılan görüşmeler devam etmekle birlikte, söz konusu kayıtların arşivleme sürecinin başlatıldığı, bu kapsamda ilgili kişinin müşteri bilgilerinin söz konusu kampanya dahilinde bir daha gönderim yapılmaması adına gönderici/alıcıya kapatıldığı, 
  • Bu süreçte, söz konusu kampanya kapsamında veri sorumlusunca kişilerin T.C. kimlik numaraları ile meslek kuruluşu üyesi olup olmadıklarının sorgulanabilmesi için ilgili meslek kuruluşunun sağladığı bir sistemin hayata geçirildiği, bu sistemden veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir “True/False” yanıtının iletildiği, bunun dışında başka bir kişisel verinin kendilerine aktarılmadığı,
  • Şikâyete konu faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği, söz konusu faturanın iptal edildiği ve işlemi gerçekleştiren acente çalışanlarına gerekli uyarıların yapıldığı

ifade edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/993 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” 
hükmünün yer aldığı,

  • Şikâyet dilekçesinde ilgili kişi tarafından kişisel verilerinin işlenmesinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan işlendiği, kişisel verilerinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan veri sorumlusu kargo şirketi tarafından üçüncü kişi ile paylaşıldığı ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarında bulunduğu,
  • Somut olayda veri sorumlusunun, ilgili kişinin kişisel verilerini veri işlemenin hukuki sebepleri kapsamında işlediği, söz konusu meslek kurulu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığını tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği, veri sorumlusunun kişisel veri işlemesinde hukuka aykırılığının bulunmadığı,
  • Öte yandan ilgili kişinin gönderici veya alıcı sıfatlarıyla veri sorumlusu bünyesinde gerçekleştirdiği işlemlere ilişkin kişisel verilerinin işlenmesinin hukuka uygun olduğu, ancak ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, hatalı faturalandırma işlemi ile Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan veri işleme şartları bulunmadan ilgili kişinin ad, soyadı, TC kimlik numarası, adresi ve e-posta adresi bilgilerinin işlenerek adına fatura düzenlenmesinin hukuka aykırılık oluşturduğu,
  • İlgili kişinin veri sorumlusu tarafından gönderilen kargo zarfında hatalı tahakkuk ettirilen faturada kişisel verilerinin açıkça yer aldığı, dolayısıyla kişisel verilerinin üçüncü kişilerin eline geçtiği iddiasına karşılık bu hususta ilgili kişi tarafından kanıtlayıcı belge sunulamadığı, ancak kargo şirketlerinin gönderi paketleri üzerine gönderici ve alıcıya ait ad, soyadı, adres, telefon numarası gibi kişisel verileri içerir barkod etiketleri yapıştırma uygulaması bulunduğunun bilindiği, buna rağmen, bu etiketlerde yer alan kişisel verilerin maskelenmiş/yıldızlanmış olması ihtimali de bulunduğundan; ilgili kişinin kişisel verilerinin 3. kişilere aktarıldığı iddiasının kanıtlanamadığı,
  • Veri sorumlusu tarafından verilen cevabi yazıda “işlenen kişisel verilerin sözleşmenin kurulması ve ifası ile ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmesi amacı ile sınırlı bir şekilde” 6102 sayılı Türk Ticaret Kanununun 855 inci maddesinin (1) numaralı fıkrası uyarınca 1 yıl, aynı maddenin (5) numaralı fıkrası uyarınca 3 yıl ve gerekli olması halinde genel zamanaşımı süresi olan 10 yıl boyunca muhafaza edildiği”, bu nedenle ilgili kişinin kişisel verilerinin anılan süreler sona erdiğinde arşivlenmek suretiyle silineceği veya erişime kapatılacağının belirtildiği,
  • Bu kapsamda veri sorumlusunun, ilgili kişinin kişisel verilerini Kanunda belirtilen süreler boyunca muhafaza etmesinin hukuka uygun olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da, hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına 

karar verilmiştir.

30.09.2021: “İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması”
Karar Tarihi : 30/09/2021
Karar No : 2021/989
Konu Özeti : İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması

 

Kısıtlının (ilgili kişi) vasisinin Kuruma intikal eden şikâyetinde özetle;  bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın ilgili kişi olan oğluna ait olduğu,  ilgili görselin kullanılmasında açık rızasının bulunmadığı, ilgili kişinin haber içeriğinde beyan edildiği gibi evlat edinilen bir mahkûmun çocuğu olmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği, bu konunun öğrenilmesi neticesinde suça  konu haberi yayınlayan veri sorumlusuna başvuru yapıldığı, veri sorumlusu tarafından fotoğrafın kaldırıldığı taraflarına e-posta ile bildirilse de sadece  bir URL’deki fotoğrafın kaldırıldığı, diğer URL’lerin tamamında fotoğrafa ulaşımın hâlâ sağlandığı ve mağduriyetin devam ettiği, bu kapsamda Ankara…Sulh Ceza Hakimliğine erişimin engellenmesi talebi ile başvuru yapıldığı, başvuru neticesinde bazı URL’lerin erişiminin engellendiği ancak bazı URL’ler açısından ihlâlin hâlâ devam etmekte olduğu, Savcılığa da ayrıca suç duyurusunda bulunulduğu ifade edilerek, ilgili kişinin vasisi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınancevabi yazıda özetle;

  • İnternet sitesinin haber paylaşımı, blog ve çeşitli içerikler sağlayan veya kullanıcılarına/üyelerine bu içerikleri üretip paylaşma imkânı tanıyan bir sosyal medya platformu olduğu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 sayılı Kanun) uyarınca sitenin yer sağlayıcısı olduğu, sitede yer alan içeriklerin veri sorumlusu çalışanı editörler tarafından oluşturulabileceği gibi içerik üretmek ve sitede yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği ve sitede yayımlayabileceği, bu kapsamda veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı; kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu,  
  • Somut olayda haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, siteye yüklenip yayımlandığı, dolayısıyla ilgili içeriğin yayımlanması hususunda kendilerinin herhangi bir kontrol veya denetiminin olmadığı,  5651 sayılı Kanun uyarınca yer sağlayıcı olarak ilgili mevzuat uyarınca içeriğin sebep olduğu herhangi bir hukuka aykırılıktan sorumlu tutulamayacağı,
  • Sitede yer alan Kullanıcı ve Gizlilik Sözleşmesinde de açıklandığı üzere, paylaşım yapacak üyelere sadece paylaşım yapmalarına imkân tanıyan bir sosyal ağ sağlandığı, ayrıca diğer maddelerde de açıkça paylaşım yapan kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceğinin düzenlendiği,
  • Öte yandan, söz konusu haber içeriğinin yayından kaldırılması amacıyla kendilerine yapılan başvuruda; Kanunun 11 inci maddesinde yer alan haklara ilişkin taleplerin yer almadığı, yer sağlayıcı olarak yükümlülüklerinin yerine getirilmesinin talep edildiği, bu kapsamda ilgili kişinin vasisi tarafından öncelikle Kanunun 13 üncü maddesinde belirtilen veri sorumlusuna başvuru yolunun tüketilmediği, bu çerçevede usulüne uygun bir başvuru yapılmadığından hareketle şikâyetin hukuka aykırı olduğu ve reddedilmesi gerektiği,
  • Diğer taraftan, iddia edilenin aksine başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer URL adreslerinin ise içeriğin sitede yer alan arama çubuğu aracılığıyla aratılarak görüntülenmesine ilişkin olduğu ve tamamen ilgili içeriğe bağlı olduğu, içeriğin kaldırılmasıyla birlikte diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı,
  • Bununla birlikte sitede yayımlanan içeriğin haber niteliği taşıdığı ve ifade özgürlüğü kapsamında yayımlandığı, bu sebeple ilgili veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında sayılan Kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı

ifadelerine yer verilmiştir. Bunun üzerine veri sorumlusundan şikâyete konu içeriklere ilişkin linklere yer verilmek suretiyle mezkûr içeriklerin site kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu iddiasına ilişkin tevsik edici tüm belge ve kayıtların Kuruma gönderilmesi istenilmiştir. Veri sorumlusundan alınan cevabi yazıda ise ilgili kullanıcı hesap bilgileri verilerek, söz konusu kullanıcının veri sorumlusu nezdinde editör pozisyonunda görev aldığı ve içerik ürettiği, bununla birlikte incelemeye konu haberlerde yer alan görsellerin tüm kamuoyunda aleni hale geldiği ve veri sorumlusunun haber tarihinden önce yapılan birçok haber internet sitesinde yayımlandığı belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/989 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin ise kişisel verisi işlenen gerçek kişi olarak tanımlandığı, bu çerçevede, habere konu edilen küçüğün kişisel verileri işlenen  ilgili kişi, şikâyete konu içerikte yer alan fotoğrafın kişisel veri niteliğinde olduğu,
  • Öte yandan veri sorumlusuna yapılan başvurunun iddia edildiğinin aksine 6698 sayılı Kanun kapsamında olduğu ve ilgili kişinin/vasisinin açık rızası olmaksızın kişisel verisinin paylaşılması sebebiyle söz konusu fotoğrafın kaldırılması talebinin de Kanunun 11 inci maddesinde sayılan haklar kapsamında olduğu,
  • Söz konusu fotoğrafın kaldırıldığı iddiasının aksine yalnızca bir URL adresindeki fotoğrafın kaldırıldığı, diğer URL adreslerinde ise halen yayımlanmaya devam edildiği, 
  • Sitenin kullanıcıları ile akdettiği Kullanıcı ve Gizlilik Sözleşmesinde yer alan bilgi, veri, yazı, fotoğraf, video, ses klibi, yorumlar, makaleler, yazılımlar, kodlar ve grafiklerin kısaca içerik olduğu ve bu içeriklerin üyeler tarafından girilebileceği gibi veri sorumlusunun editörleri tarafından da girilebileceği ibarelerine yer verildiği,
  • Veri sorumlusunun Kurumu muhatap cevabi yazısında, sitede içerik yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği, veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu ifadelerine rastlandığı,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun (5651 sayılı Kanun) “Tanımlar” başlıklı 2 nci maddesinin (1) numaralı fıkrasının (f) bendinde içerik sağlayıcının, “İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişiler”, yer sağlayıcının ise “Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler” olarak tanımlandığı, “İçerik sağlayıcının sorumluluğu” başlıklı 4 üncü maddenin (1) numaralı fıkrasında “İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur.” hükmünün, “Yer sağlayıcının yükümlülükleri” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasında ise “Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün düzenlendiği,
  • Kuruma intikal eden belgeler incelendiğinde, fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşıldığı, şikâyet konusu içeriğin bağımsız bir kullanıcı/üye tarafından değil çalışan tarafından oluşturulmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Şirketin somut olay nezdinde 6698 sayılı Kanun kapsamında veri sorumlusu sıfatını haiz olduğu, dolayısıyla Kanun kapsamındaki yükümlülüklere tabi olacağı; fotoğrafın şikâyete konu içerikte yayımlanmasının ise kişisel veri işleme faaliyeti olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği, 
  • Bu kapsamda öncelikli olarak, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği, bu çerçevede,  ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;

-    Kamu ilgi ve yararı taşıması, 
-    Gerçek ve güncel olması, 
-    Özü ile biçimi arasındaki denge

kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesi gerektiği,

  • Kamu yararının tespitinde, haberin kişilerin merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesi gerektiği, örneğin; yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu, öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağı,
  • Öte yandan, haberin gerçek ve güncel olmasının ikinci kriter olduğu, gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği,
  • Haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden hareketle kişilik hakkına üstünlük tanınması gerekeceği,
  • Biçim ve öz arasındaki denge kriteri açısından ise kullanılacak dil ve ifadenin, yapılacak niteleme ve vurgunun da haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının ve yasal fonksiyonun yönelik bulunduğu “amaç”a ulaşabilmek için en uygun ve en elverişli “araç”ın kullanılmasının gerekeceği,
  • Bu hususlar doğrultusunda, haber içeriği kapsamındaki kişisel verinin, kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi neticesinde; ilgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesinin Kanundan istisna tutulacağına ilişkin hükmü kapsamında ele alınamayacağı,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı, 

  • Bu kapsamda, ilgili kişiye ait fotoğrafın kendisi ile ilgisi olmayan bir içerikte kullanılmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Kanunun 5 inci maddesinde yer alan işleme şartları olmaksızın veri işleme faaliyetinde bulunulduğu dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • İlgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, zira Kuruma iletilen şikâyet dilekçesi ekinde yer verilen 19.03.2019 tarihli mahkeme kararından da ilgili kişinin annesinin tarafına vasi olarak tayin edildiği dolayısıyla ilgili kişinin adı geçen ünlü tarafından evlat edinilmediğinin açık olduğu dikkate alındığında; internet sitesinde yayımlanan söz konusu haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceğine,
  • İlgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına

karar verilmiştir.

16.09.2021: “İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması”
Karar Tarihi : 16/09/2021
Karar No : 2021/925
Konu Özeti : İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; iki yıldır çalışmakta olduğu Şirkete dava açan bir çalışanın avukatı (veri sorumlusu) tarafından kaleme alınmış dava dilekçesinde, ilgili kişinin kendisine ve sendika üyesi diğer çalışanlara ait sendika üyelik bilgileri ile üyelik tarihlerine yer verildiği; sendika üyelik bilgisini daha önce kimseyle paylaşmadığı; konu hakkında veri sorumlusuna başvuruda bulunduğu ancak verilen cevabı yeterli bulmadığı ifade edilerek veri sorumlusu avukat hakkında 6698 sayılı Kişisel Verilerin Korunması Kanun (Kanun) kapsamında gerekli yasal işlemlerin yapılması talep edilmiştir. 

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazılarda özetle;

  • İşyerinde çalışan işçilerin yasal sendikal faaliyetleri nedeniyle iş sözleşmelerinin feshedilmesi üzerine söz konusu işyerinde çalışan işçilerin %60-70 oranında katıldığı toplantılarda, iş yerinde yaşanan olumsuzluklar nedeniyle iş sözleşmesi feshedilen işçilerin yanında bir kısım işçilerin de işveren baskısı sonucu sendika üyeliğinden istifa ettikleri vb. bilgisinin verildiği; bu toplantıların ve verilen bilgilerin iş yerinde çalışan tüm işçilerin bildiği aleni bilgiler olduğu ve tamamen duyuma dayalı olduğu, bu nedenle bu bilgilere ulaşım yolunun hukuka uygun olduğu, 
  • Bu bilgiler çerçevesinde iş yerinde çalışırken iş sözleşmesi sendikal nedenlerle feshedilen davacı işçi adına, davalı işveren aleyhine sendikal tazminat talepli işe iade davası açıldığı,
  • 4857 sayılı İş Kanununun (4857 sayılı Kanun) 20 nci maddesi ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun (6356 sayılı Kanun) 25 nci maddesinin 6 ncı fıkrası uyarınca iş sözleşmesinin sendikal nedenlerle feshedildiğinin ispat külfetinin işçiye (yani davacı müvekkiline) ait olduğu, Yargıtay’ın kararlarında da sendika üyesi olan, istifa eden ve baskıya uğrayan işçilerin somut olarak bu durumu ispatlamasının istendiği, yine Yargıtay’ın yerleşik kararlarına göre "...işçilerin birlikte hukuki işlemi aynı anda yapması, notere gitmesi, ihtarname çekmesi, sendika üyeliğinden istifa etmesi..." gibi işlemlerin işverenin yönlendirmesi ile yapıldığının karine olduğu,
  • Yargılama aşamasında sendikanın iş yerinde çalışan işçilerden sendika üyesi olanlara ve sonradan sendika üyeliğinden istifa edenlere ilişkin bilgi sunacağı ve varsa üyelik ve istifa fişlerini ibraz edeceği; şikâyetçinin hangi tarihte istifa ettiğinin dava dilekçesinde tarih olarak belirtilmediği, süreç olarak anlatıldığı, istifa tarihinin yasal zorunluluk olarak yargılama sırasında Çalışma ve Sosyal Güvenlik Bakanlığı ile sendikadan tezkere ile isteneceği,
  • Müvekkilinin iş sözleşmesinin sırf sendikal nedenlerle feshedilmiş olduğu, işyerinde yaşanan sendikal süreçte sendika üyelikleri tespit edilen işçilere, işveren tarafından yapılan baskılar sonucu bir kısım üye işçilerin de, sendika üyeliklerinden istifa ederek, işyerinde çalışmaya devam ettiklerinin tüm işçiler tarafından bilinen bir gerçek olduğu, dava dilekçesinde de şikâyetçi dahil bir kısım işçinin aynı dönemde işverenin baskısı ile istifaya zorlandıklarının belirtildiği, açılan davada dava dilekçesi ve eklerinin şikâyetçi işçiye gösterilmesinin işverenin halen işyerinde sendikal faaliyeti engellemeye çalıştığının açık bir göstergesi olduğu ve bu kapsamda şikâyetçinin başvurusunun da işverenin yönlendirmesiyle yapıldığı, 
  • Hukuka uygun elde edilen tüm aleni bilgilerin dava dilekçesinde paylaşılmasının kişisel verilerin hukuka aykırı paylaşımı anlamına gelmediği ve verilerin işlendiği iddialarının da geçerli olmadığı, dava dilekçesinin izah edilen süreç çerçevesince hazırlanmış olduğu ve gerçekleştirilen hukuki işlemlerin hiçbir aşamasında hukuka aykırı bir yol izlenmediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 16/09/2021 tarihli ve 2021/925 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükümlerinin yer aldığı,
  • 1136 sayılı Avukatlık Kanununun “Avukatlığın amacı” başlıklı 2 nci maddesinde; “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. Avukat bu amaçla hukuki bilgi ve tecrübelerini adalet hizmetine ve kişilerin yararlanmasına tahsis eder. Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekâletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.” hükümlerine yer verildiği,
  • 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı 119 uncu maddesinin (1) numaralı  fıkrasında ise dava dilekçesinde bulunacak hususların “… a) Mahkemenin adı. b)Davacı ile davalının adı, soyadı ve adresleri. c) Davacının Türkiye Cumhuriyeti kimlik numarası. ç)Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. d)Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri. e)Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri. f)İddia edilen her bir vakıanın hangi delillerle ispat edileceği. g)Dayanılan hukuki sebepler. ğ)Açık bir şekilde talep sonucu. h)Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.” şeklinde belirtildiği
  • Bu çerçevede, ilgili kişinin özel nitelikli kişisel verisi olan sendikalı olma bilgisinin veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere dava dilekçesine eklenmek suretiyle işlenmesinin ancak açık rızanın bulunması ya da Kanunlarda öngörülen hallerde mümkün bulunduğu,
  • Veri sorumlusu tarafından yazı ekinde gönderilen dava dilekçesinin incelenmesi neticesinde;  ilgili İş Mahkemesine sunulmak üzere hazırlanan dilekçede sendikal sürece ve işveren ile işçiler arasında mevcut olduğu iddia edilen anlaşmazlıklara yer verildiği, ilgili kişinin sadece ad ve soyadının sendikadan istifa eden işçilerden biri olarak açıkça yazıldığı, ilgili kişi dışında farklı işçilerin ad ve soyadlarının da ilgili dava dilekçesinde yer aldığı ve söz konusu durumun tespiti amacıyla sendikadan istifa beyanlarının celbinin talep edildiğinin görüldüğü,
  • Yargıtay 9. Hukuk Dairesinin E.2018/5445 K. 2018/17529 sayılı kararının gerekçe bölümünde  “… Dairemizce, sendikal tazminat davalarında ispat yükünün işçide olduğu hallerde, işyerinde çalışan ve sendikaya üye olan işçilerin sayısı, hangi tarihlerde üye oldukları, üyelikten çekilen işçilerin olup olmadığı, işyerinde çalışmakta olan işçilerin bulunup bulunmadığı, aynı dönemde yetki prosedürünün işletilip işletilmediği, işyerinde önceki dönemlerde toplu iş sözleşmelerinin bağıtlanıp bağıtlanmadığı, yeni işçi alınıp alınmadığı ve alınmışsa yeni işçilerin sendikalı olup olmadığı gibi hususlarla, işverence ekonomik veya teknolojik nedenlere dayalı bir fesih yoluna gidilmesi durumunda teknik yönden bu durumun araştırılması gibi ölçütler belirlenmiştir.”  hususlarına yer verilerek işveren tarafından gerçekleştirilen feshin geçersizliğine ve davacının işe iadesine karar verildiğinin görüldüğü,
  • 4857 sayılı İş Kanununun 20 nci maddesinin (2) numaralı  fıkrasının “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir. İşçi, feshin başka bir sebebe dayandığını iddia ettiği takdirde, bu iddiasını ispatla yükümlüdür” hükmünü haiz olduğu,
  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin (3)  numaralı fıkrasında ise “İşçiler, sendikaya üye olmaları veya olmamaları, iş saatleri dışında veya işverenin izni ile iş saatleri içinde işçi kuruluşlarının faaliyetlerine katılmaları veya sendikal faaliyette bulunmalarından dolayı işten çıkarılamaz veya farklı işleme tabi tutulamaz.” hükmüne; (5) numaralı  fıkrasında “Sendikal bir nedenle iş sözleşmesinin feshi halinde işçi, 4857 sayılı Kanunun (…) (2), 20 ve 21 inci madde hükümlerine göre dava açma hakkına sahiptir. İş sözleşmesinin sendikal nedenle feshedildiğinin tespit edilmesi halinde, 4857 sayılı Kanunun 21 inci maddesine göre işçinin başvurusu, işverenin işe başlatması veya başlatmaması şartına bağlı olmaksızın sendikal tazminata karar verilir. Ancak işçinin işe başlatılmaması halinde, ayrıca 4857 sayılı Kanunun 21 inci maddesinin birinci fıkrasında belirtilen tazminata hükmedilmez. İşçinin 4857 sayılı Kanunun yukarıdaki hükümlerine göre dava açmaması ayrıca sendikal tazminat talebini engellemez.” hükmüne, (6) numaralı fıkrasında ise “İş sözleşmesinin sendikal nedenle feshedildiği iddiası ile açılacak davada, feshin nedenini ispat yükümlülüğü işverene aittir. Feshin işverenin ileri sürdüğü nedene dayanmadığını iddia eden işçi, feshin sendikal nedene dayandığını ispatla yükümlüdür.” hükmüne yer verildiği,
  • Öncelikle işçi sendikalarının işçilerin ekonomik ve sosyal haklarını korumak ve geliştirmek amacıyla kurulan örgütler olduğu ve bir sendikanın toplu iş sözleşmesi imzalayabilmesi için 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu gereğince işkolu ve işyeri barajlarını geçmesi gerektiği, sendika özgürlüğünün, mevzuatımızda Anayasanın 51 inci ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 23 ila 25 inci maddeleri arasında yer alan düzenlemeler ile güvence altına alındığı, kişinin dilediği sendikaya üye olması veyahut üye olmaması, sendikal faaliyette bulunması veya sendika kurması gibi özgürlüklerin sendika özgürlüğü kapsamında olduğu,
  • Somut olayda konu edilen sendikal feshin ise, işçilerin bir sendikaya üye olmaları veya tam tersi işverenin istediği bir sendikaya üye olmamaları nedeniyle ya da sendikal faaliyetlere katılmaları nedeniyle işten çıkarılmalarını ifade ettiği, Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin, bu nedene dayalı olarak yapılacak fesihleri açık bir şekilde yasakladığı ancak yasağa rağmen yapılması halinde, iş sözleşmesi sendikal nedenle feshedilen kişinin dava açması gerektiği, açılan davada iş sözleşmesinin sendikal nedenlerle feshedildiğinin işçi tarafından ispat edilmesinin beklendiği
  • Şikâyete konu somut olayda, iş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında veri sorumlusu avukat tarafından açılan işe iade davasında ilgili kişinin ad soyadının ve sendikalı olduğu bilgisinin paylaşılmasının; somut olayın başka bir işçi lehine açılmış bir işe iade davası olması ve davanın sendikal faaliyet üzerine kurulmuş olması, ayrıca bu husustaki ispat külfetinin veri sorumlusu avukata ait olduğu davada, aynı işyerinde çalışan ilgili kişinin sendikalılıktan ayrılmış olma bilgisinin dosyayla ilgili olması sebebiyle Avukatlık Kanununun 2 nci maddesinde yer alan hüküm ve Hukuk Muhakemeleri Kanununun 119 uncu maddesi uyarınca işe iade dava dilekçesinde kullanmasının Kanunun 6 ncı maddesine aykırılık teşkil etmediği 

değerlendirmelerinden hareketle;

  • Şikayet dilekçesinde yer verilen iddiaların Kanuna aykırılık teşkil etmediği sonucuna  varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
09.09.2021: “İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi”
Karar Tarihi : 09/09/2021
Karar No : 2021/909
Konu Özeti : İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; bir avukat tarafından ilgili kişinin kardeşine ait borç için başlatılan icra takibi kapsamında, ilgili kişinin adresine İcra Müdürlüğü tarafından İcra ve İflas Kanununun (İİK) 89 uncu maddesinin (1) numaralı fıkrası gereği Birinci Haciz İhbarnamesi gönderildiği, icra dosyası kapsamında ilgili kişiye ait T.C. kimlik numarasının ve adresinin herhangi bir açık rıza ve aydınlatma onamı olmadan icra dairesine verildiği, veri sorumlusu avukata iadeli taahhütlü posta ile başvuru dilekçesi gönderildiği ancak başvurunun veri sorumlusuna iletilmesine rağmen başvuruya cevap verilmediği hususları ifade edilerek ilgili kişinin kişisel verilerini kanuna aykırı olarak işleyen ve rızası dışında kullanan veri sorumlusu avukat hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • Müvekkilinin şikâyet sahibi ilgili kişinin kardeşinden alacaklı olduğu; borçlu hakkında İcra Ceza Mahkemesi tarafından 3 ay tazyik hapsine karar verildiği; 
  • Borçlunun ikamet adresinin bulunamadığı; yapılan UYAP sorgularında MERNİS adresinin "bilinmiyor" olduğu; dolayısıyla müvekkilinin alacağını tahsil etmek amacıyla ne bir haciz yapılabildiği ne de bir tebligat gönderilebildiği;
  • İlgili kişinin kimlik bilgilerini, alacağını hiçbir şekilde tahsil edemeyen müvekkilinin kendisine verdiği; kendisinin de bu bilgileri İcra Müdürlüğünün dosyasına sunarak İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında Birinci Haciz İhbarnamesi gönderilmesini talep ettiği; 
  • İcra Müdürlüğünün devletin resmi bir kurumu olduğu, alacaklının veya vekilinin, haczi üçüncü kişilere bildirmek maksadıyla herkese İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesini talep etme hakkı olduğu; 
  • Avukatların, mesleğin gereği olarak, müvekkillerine ve hatta davanın muhatabı olan karşı tarafa ait bir takım kişisel verilere erişmesinin ve bu verileri yargı nezdinde kullanmasının doğal olduğu; 
  • İİK’nın 89 uncu maddesinin (1) numaralı fıkrası hükmü gereği takibin kesinleşmesi üzerine ve alacaklının talebi ile icra dairesinin, borçlunun üçüncü kişideki alacağının haczine karar vererek, haciz tutanağı düzenleyeceği ve bu haczi üçüncü kişiye bir haciz ihbarnamesi göndermek suretiyle bildireceği; bu ihbarnameye birinci haciz ihbarnamesi dendiği; 
  • Bu ihbarnamenin içeriğinin İİK’nin 89 uncu maddesinin (1) numaralı fıkrası ve İcra İflas Kanunu Yönetmeliğinin 42 nci maddesinde düzenlendiği: buna göre ilgili maddede "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin ..hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı... ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır." hükmüne yer verildiği
  • Kanunun alacaklıya veya vekiline sağlamış olduğu yasal hakkı kullanarak üçüncü kişi olan ilgili kişiye İİK’nin 89 uncu maddesinin (1) numaralı fıkrası çerçevesinde haciz ihbarnamesi gönderilmesinde hiçbir hukuka aykırılığın söz konusu olmadığı; gönderilebilmesi için üçüncü kişinin adresi ve kimlik bilgisinin olması gerektiğinin ilgili Yönetmelikte de belirtildiği  

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 09/09/2021 tarih ve 2021/909 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesi uyarınca kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği, 
  • İcra ve İflas Hukuku gereğince ifası talep edilen hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, “haciz”in; kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabildiği, 
  • Borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun 89 uncu maddesinin (1) numaralı fıkrasında "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır."  hükmü ile düzenlendiği,
  • İİK'nin 89 uncu maddesinin (1) numaralı fıkrası kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinin alacaklı ile vekili arasındaki vekalet ilişkisi gereğince veri sorumlusu avukatın, müvekkili adına ilgili kişinin kişisel verilerini icra dairesine sunmak suretiyle gerçekleştirdiği bu kapsamda söz konusu veri işleme faaliyetinin hem Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmüne hem de (e) bendinde yer alan “Bir hakkın tesisi, kullanılması, korunması için veri işlemenin zorunlu olması” hükmüne dayandığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu avukat tarafından icra dairesiyle izinsiz paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesi suretiyle alacaklı ve vekili arasındaki vekâlet ilişkisi gereğince alacaklı adına İcra Müdürlükleri nezdinde ilgili kişinin kişisel verilerinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan ‘Kanunlarda açıkça öngörülme’ ve ‘Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’ şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına,
  • Öte yandan ilgili kişinin, kişisel verilerinin alacaklı tarafından hukuka aykırı ele geçirilmiş olduğu yönünde bir düşüncesi varsa bunu alacaklı bakımından Türk Ceza Kanunu hükümleri kapsamında yargıya intikal ettirebileceğinin hatırlatılmasına,
  • Bunun yanı sıra veri sorumlusu avukatın kendisine yapılan başvuruya süresi içinde cevap vermediği anlaşıldığından ilgili kişilerin kişisel verilerine ilişkin Kanunun 11 inci maddesi kapsamına giren taleplerine yine Kanunun 13 üncü maddesi gereğince süresi içinde cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/847
Konu Özeti : İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin hesabına kayıtlı olan adreslerin silinmesine yönelik işlemlerin nasıl gerçekleştirileceğine dair sorusunun şirket yetkilisi tarafından fatura adreslerinin silinemeyeceği şeklinde cevaplandırıldığı; bu cevaba karşı ilgili kişinin yasal olarak kişisel bilgilerini istediği zaman istediği yerden silme hakkının mevcut olduğunu, bilgileri silinmezse hakkını yasal olarak aramak zorunda kalacağını belirttiği; bunun üzerine ilgili kişiye yetkili tarafından geçmiş dönem faturalardaki bilgilerinin silinemeyeceğinin iletildiği,
  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinde kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiğinin öngörüldüğü, faturaların 213 sayılı Vergi Usul Kanunu uyarınca gerekli vergi süreçlerinden kaynaklı saklama süresinin beş yıl olarak değerlendirilebileceği,
  • Satış sözleşmesi uyarınca müşteri tarafından gerçekleştirilen ödemeleri göstermek üzere müşteriye verilen bir ticari vesika mahiyetinde olan fatura kapsamında işlenen kişisel verilerin, sözleşmenin ifası esnasında tarafların yükümlülüklerini yerine getirdiğine yönelik bir dayanak oluşturmayı amaçladığı,
  • Bundan dolayı fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • 6098 sayılı Türk Borçlar Kanununca düzenlenen satış sözleşmesi kapsamında ifa edilen edimlere ilişkin bilgileri içeren faturanın, satış sözleşmesine aykırı davranışlarda ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıkların gündeme gelmesi halinde, hak kaybı yaşanmaması amacıyla on yıl süreyle saklanmasının mevzuatta öngörülen zamanaşımı süreleri ile doğru orantılı olduğu,
  • Dolayısıyla şirketlerince ilgili kişinin adres bilgilerinin güncellenmesine imkân verildiği; ancak geçmiş adres bilgilerinin detaylıca açıkladıkları mevzuat ve sözleşmesel ilişki gereği on yıl süre ile muhafaza edildiği,
  • Üyelerin serbest bir şekilde güncel adreslerinde değişiklik yapma hakkına sahip olduğu ancak geçmişte yapılan satış/hizmet alım sözleşmelerinin her biri ayrı birer kurulu sözleşme sayılacağı için söz konusu adreslerin sistemlerinde saklandığı, kullanılan adresin silinmesinin muhasebesel olarak siparişi alınmış ürün ile ilgili kayıtların da silinmesi anlamına geleceği, bu durumun tüketicilere sözleşme öncesinde sunulan “Üyelik Sözleşmesi”nin açıklamalar kısmında da sabit olduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/847 sayılı Kararı ile;

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrası uyarınca kişisel verilerin işlenmesinde: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğu,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünün, (2) numaralı fıkrasında ise “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün düzenlendiği,
  • 213 sayılı Vergi Usul Kanununun 230 uncu maddesinde faturada bulunması gereken bilgiler arasında müşterinin adresinin de yer aldığı, bununla birlikte, 213 sayılı Kanunun 253 ve 254 üncü maddeleri uyarınca fatura belgelerinin beş yıl süre ile muhafaza edileceğinin düzenlendiği,
  • Veri sorumlusu tarafından ise faturanın 6098 sayılı Türk Borçlar Kanununda düzenlenen satış sözleşmesine ilişkin bir sürecin parçası olduğu; satış sözleşmesine aykırı davranışlardan ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıklara on yıllık genel zamanaşımı süresinin uygulanacağı, fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından olan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • Bu kapsamda, adres bilgisinin hem fatura belgesi hem de satış sözleşmesinde olduğu gibi birden fazla amaca ve hukuki sebebe dayanarak işlenebileceği, farklı veri işleme faaliyetlerindeki aynı kişisel veriler için öngörülen saklama sürelerinin farklı olabileceği, bu doğrultuda, ilgili kişinin fatura belgeleri ve dolaylı olarak üzerinde yer alan adres bilgilerinin işlenmesi için geçerli bir işleme amacı ve hukuki gerekçenin bulunduğu, ayrıca veri sorumlusu tarafından belirlenen on yıllık saklama süresinin Türk Borçlar Kanununun 146 ncı maddesinde yer alan “Kanunda aksine bir hüküm bulunmadıkça, her alacak on yıllık zamanaşımına tabidir.” hükmü uyarınca mevzuatta öngörülen en uzun süreye uygun olarak belirlendiği, bu kapsamda veri sorumlusunun yazısı ekinde yer alan dokümanlar incelendiğinde ilgili kişiye ait 2012, 2016, 2018 ve 2021 tarihli fatura belgelerinin bulunduğunun görüldüğü, her bir fatura belgesi tarihinin ayrı olarak değerlendirilmesi sonucunda fatura belgeleri ve dolaylı olarak adres bilgileri için veri sorumlusu tarafından belirlenen saklama süresinin henüz tamamlanmadığının anlaşıldığı, 
  • Bununla birlikte, ilgili kişinin bireysel hesabının ekran görüntüsü incelendiğinde; “Profil Bilgilerim” sayfasının “Fatura Adres Bilgilerim” başlığı altında varsayılan adres olarak bir adresin seçilebildiği ve adres üzerinde “Düzenle” ve “Sil” olmak üzere iki seçeneğin yer aldığı, “Diğer Kayıtlı Adresler” başlığı altında ise adresler üzerinde “Varsayılan Yap”, “Düzenle” ve “Sil” şeklindeki seçeneklerin yer aldığının görüldüğü, ancak, veri sorumlusunca söz konusu seçeneklerin yer almasına rağmen fatura adresi olarak kullanılmış adres bilgilerinin fatura belgeleri ile ilişkilendirilmesi sebebiyle ilgili kişinin hesabında “Profil Bilgileri” altında belirlenen saklama süresi boyunca yer almaya devam edeceği ve üzerinde bir işlem yapılamayacağının belirtildiği,
  • Satış sözleşmesi kapsamındaki anlaşmazlıklara yönelik fatura belgelerinin saklanması ile söz konusu fatura adresi bilgilerinin ilgili kişinin bireysel hesabında da saklanmasının iki farklı veri işleme faaliyeti olduğu, veri sorumlusu tarafından belirtilen saklama süresinin ilgili kişiye ait fatura belgeleri veya satış sözleşmesinin saklanması için geçerli olduğu, bununla birlikte kullanıcıların bireysel hesaplarına kaydettikleri adres bilgileri üzerinde silme, güncelleme gibi çeşitli düzenlemeleri yapma hakkına sahip olduğu ve bu alanda güncel olan adres bilgilerinin yer almasının ilgili kişinin sorumluluğunda olduğu, 
  • Ancak veri sorumlusunun da verilerin doğru ve güncel olmasını sağlayabilecek imkânları ilgili kişilere sağlaması gerektiği, güncel olmayan adres bilgilerinin bireysel hesap üzerinde de saklanması ve fatura adresi olarak kullanılmaları gerekçesiyle bu adres bilgileri üzerinde herhangi bir işlem yapılamamasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendi uyarınca kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği 

değerlendirmelerinden hareketle;

  • İlgili kişinin fatura belgelerinin veri sorumlusunun Türk Borçlar Kanunundan kaynaklanan yükümlülükleri kapsamında on yıl saklanabileceği, bununla birlikte bireysel hesap üzerinde güncel adres bilgilerinin bulunması gereken alanda hâlihazırda kullanılmayan adres bilgilerinin de yer aldığı ve bu adres bilgileri üzerinde ilgili kişiler tarafından herhangi bir işlem yapılamadığı dikkate alındığında Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesinin yerine getirilebilmesi ve bu kapsamda kişisel verilerin güncellenmesine/imha edilmesine ve güncel olmayan kişisel verilerin ilgili kişilere gösterilmemesine imkân sağlayacak kanalların oluşturulması ile imha edilen/edilmesi istenen kişisel verilerin saklama amacı dışında kullanılmamasına ilişkin gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

03.09.2021: “İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması”
Karar Tarihi : 03/09/2021
Karar No : 2021/889
Konu Özeti : İlgili kişinin, bir spor tesisi tarafından açık rıza alınmaksızın kendisinin yer aldığı müsabakaların kaydedilip yayınlanması

 

İlgili kişinin Kuruma intikal eden ihbar başvurusunda özetle; Türkiye genelinde halı saha işletmeciliği alanında faaliyet gösteren veri sorumlusunun, spor tesislerinde görüntü kaydı yapmakta olduğu, ancak görüntü kaydının tesislerde spor yapanların rızaları alınmaksızın yapıldığı, bu nedenle söz konusu faaliyetin yasalara açıkça aykırılık teşkil ettiği, kayıtların veri sorumlusunun internet platformunda da yayınlandığı, bu uygulamanın kişilerin mahrem hayatını ihlal ettiği belirtilerek Kurum tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • İlgili kişinin İstanbul ….. Tesisinde kendisinin de yer aldığı bir futbol maçında kaydedilen görüntülerinin yayından kaldırılmasını talep ettiği, söz konusu talebin kendilerine ulaşmasının ardından derhal silinmesi için talepte bulunan 2 adet maç kaydının yayından kaldırıldığı,
  • Maçlardan önce maç kaydı alınmaması yönünde bir talebin gelmesi halinde söz konusu taleplerin derhal yerine getirildiği ve ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı,
  • Maçların 2016 yılından itibaren kayıt altına alındığına ve daha sonra izlenebileceğine ilişkin bilgilendirme brandalarının tesislere asıldığı ve brandaların eskidikçe yenilendiği, tesislerin kafe, soyunma odası ve koridor gibi sosyal alanlarında da poster ve afişlerle tesiste oynanan maçların yayınlandığı hususunun tesise gelen her ziyaretçinin kolaylıkla fark edebileceği şekilde açıkça duyurulduğu, ilgili kişilerin bu yolla aydınlatılmış olduğu,
  • İlgili kişinin Kuruma yaptığı başvuru tarihindeki yayın ve imha politikalarınca kullanıcıların tesislerde yapılan bilgilendirmeler sayesinde diledikleri takdirde maç kaydının alınmamasını kolaylıkla sağlayabildikleri, internet sitesinde yayınlanan tüm maç yayınlarının sadece 15 gün yayında kaldığı, sonrasında ise geri döndürülemeyecek şekilde imha edildiği, her maç videosunun altında yer alan bildir butonu aracılığı ile maç videosunun yayından kaldırılması talebinde bulunulabildiği, buna ek olarak halı saha işletmecilerinden gelen talepler ve kişilerden gelen mesajlar üzerine de yayınların derhal yayından kaldırıldığı, ayrıca kişisel verilerin hiçbir şekilde yurtdışına aktarılmadığı,
  • Kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı,
  • Kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığı

ifade edilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2021 tarihli ve 2021/889 sayılı Kararı ile;
 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünün yer aldığı,
  • Öte yandan Kanun çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın alınmasının şekil şartına bağlı olmadığı, açık rızanın elektronik ortam ve çağrı merkezi gibi yollarla alınmasının da mümkün olduğu, ancak burada ispat yükümlülüğünün veri sorumlusuna ait olduğu, 
  • Somut olayda veri sorumlusu tarafından; kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığının ifade edildiği, söz konusu ifadeden, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, somut başvuru tarihinde de aynı şekilde bu tip bir uygulamanın henüz hayata geçirilmemiş olduğunun anlaşıldığı,
  • Bu hususa paralel şekilde, somut olay tarihinde ilgili kişilerden açık rıza alındığına ilişkin veri sorumlusu tarafından herhangi bir tevsik edici bilgi veya belgeye cevabi yazı ekinde yer verilmediğinin görüldüğü,
  • Veri sorumlusu tarafından kayıtlarının düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı ifade edilmiş olmakla birlikte, somut olayda veri sorumlusuna ait internet sitesinde yayınlanan kayıtlar incelendiğinde, kayıtlarda görüntüleri yer alan kişilerin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin verilerinin, bu bireylerin özgün bir şekilde teşhis edilmesini sağlayabilecek nitelikte oldukları 

değerlendirmelerden hareketle;
    

  • İlgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği dikkate alındığından veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılması nedeniyle, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Öte yandan, söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında, bu yönde gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

12.08.2021: “İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi”
Karar Tarihi : 12/08/2021
Karar No : 2021/799
Konu Özeti : İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; uluslararası geçerliliği olan bir dil sınavı konusunda ilgili akredite kuruluşun düzenlemiş olduğu sınava girdiği, bu sınav öncesinde herhangi bir veri işleme şartına dayanmaksızın ilgili kişiye ait özel nitelikli kişisel verisi olan görsel kaydının (biyometrik fotoğraf) ve parmak izinin alındığı, giriş kaydının alternatif yollarla sağlanmasının mümkün olduğu, bu kapsamda bahsi geçen kuruluşa başvuruda bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamındaki hakları ve kişisel verilerinin saklama süresi sona erince ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunduğu, ancak başvurusunun haksız ve mesnetsiz gerekçelerle reddedildiği, kuruluşun söz konusu uluslararası dil sınavına ilişkin olarak Türkiye’deki süreçleri yürüten ve çeşitli uluslararası kurum ve kuruluşların yetkilendirdiği bir tüzel kişilik olduğu, bu kapsamda sınava katılan adayların kişisel verilerinin yurt dışına aktarılmasının kaçınılmaz olduğu ancak aktarım hakkında bilgilendirilmediği, diğer taraftan iletişim bilgilerinin de reklam ve pazarlama amaçlı olarak açık rızası alınmaksızın ve aydınlatma yükümlülüğü yerine getirilmeksizin hukuka aykırı olarak işlendiği hususları ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik ilgili şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • Öncelikle ilgili kişinin başvurusunda ad-soyad bilgisinin hatalı yazılmış olması sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe (Tebliğ) uygun olarak taraflarına başvuru yapılmadığı,
  • Sınava başvuran adaylardan kimlik bilgileri (adı, baba adı, ana adı, doğum yeri, doğum tarihi vatandaşlık numarası, kimlik seri no, kimlik geçerlilik tarihi), iletişim bilgileri (iletişim adresi, e-posta adresi, telefon numarası, ülke, şehir, posta kodu, ilçe), login ve kullanıcı adı, cinsiyeti, banka hesap bilgileri, engellilik durumu, sağlık raporu, dijital fotoğrafı,  dijital parmak taraması ve el yazısı verilerinin alındığı,
  • İlgili kişi tarafından iddia edildiğinin aksine taraflarınca biyometrik değil çehre görüntüsü gibi herkes tarafından bilinen, görünen ve kamuya açık dijital vesikalık fotoğrafının hizmet ilişkisi kapsamında kayıt altına alındığı, bahse konu verilerin, sınava girmek isteyen kişinin kaydının oluşturulması ve sınav sürecinin yönetilmesi için alınmasının zorunlu olduğu, dolayısıyla bu verilerin şirketleri ve sınava girecek kişiler arasında 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgilerden olduğu ve ilgili kişinin açık rızasına tabi olmadığı, 
  • Parmak tarama kayıtlarının ise sınav güvenliği ve kimlik doğruluğunu sağlamak adına alınmasının şart olduğu, bu kayıtların yurt içi ya da yurt dışına aktarılmadığı, bu sistemin hizmet kalitesini standart hale getirmek amacıyla tüm dünyada söz konusu dil sınavını yapan merkez tarafından zorunlu tutulduğu, küresel olarak belirlenmiş olan bahse konu dil sınavının Güvenlik Protokollerine tüm yetkili sınav uygulayıcılarının uymakla yükümlü olduğu, parmak izi taramasının parmak izi şeklinde olmadığı, "görüntü kaydı" yöntemiyle alındığı ve yalnızca eşleştirme yapıldığı, parmak izi taramasında mürekkep, sıvı ya da herhangi bir kimyasal içermeyen elektronik tarayıcı kullanıldığı, parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, kişilerden açık rıza alınmadığı takdirde parmak tarama kayıtlarının işlenmediği, buna ilişkin gerekli bilgilendirmenin ilgili kişilere yapılarak açık rızalarının olup olmadığının öğrenildiği, 
  • Bu kapsamda, sınava girecek adaylardan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin toplandığı, özel nitelikli kişisel veriler bakımından ise adaylardan rızalarının alındığı,
  • Kişisel verilerin işlenmesi sürecinde Kanunun 10 uncu maddesi kapsamındaki aydınlatma yükümlülüğü ile ilgili olarak, gizlilik politikası ve kullanım koşulları metinleri ile toplanan kişisel verilere ilişkin bilgilendirme sağlamak adına söz konusu metinlerin internet sitesinde yayınlandığı, internet üzerinden sınav başvurusunda bulunan kişilerin üyelik formunu doldurmak zorunda oldukları ve bu esnada ilgili metinlere link verildiği, internet üzerinden başvuru yapmayan adaylara ise iletişim adreslerine söz konusu link ve metinlerin gönderildiği,
  • Öte yandan söz konusu sınava girişte elde edilen kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışından bulunan bir başka kuruluşun sorumlu olduğu, Türkiye’de kurulu bulunan şirketin tüm çalışma, pazarlama ve işletme esaslarının kurucu şirket tarafından belirlendiği,
  •  Elde edilen kişisel verilerden, kişinin kimlik ve iletişim bilgilerinin, pasaport bilgilerinin, login ve kullanıcı adı, ülke, şehir, posta kodu, ilçe, cinsiyet, dijital fotoğraf bilgilerinin yurt içi ve yurt dışı ile paylaşıldığı, yurt içi/yurt dışı aktarımların yalnızca topluluk şirketleri ile yapıldığı, şirketin her türlü işlem ve ilişkilerinde yurt dışı merkezli topluluk şirketlerine bağlı olması sebebiyle söz konusu paylaşımın hizmetlerin ifası bakımından şart olduğu, dil sınavının uygulaması ve hazırlanmasında ancak kendisine tanınan yetki sınırları içerisinde hareket edebildiği ve sözleşme kapsamında bağlı olduğu şirketlere aktarım yapmakla yükümlü olduğu, adayın talep ettiği hizmeti almasında bu aktarımın önem arz ettiği, edimin ifa edilmesi adına dil sınavı test ortaklarının bu bilgilere sahip olmak zorunda oldukları, verilerin aktarıldığı topluluk şirketlerinin GDPR’a tabi olduklarından güvenli ülke oldukları, 
  • Özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının ise yurt dışına aktarımının söz konusu olmadığı,
  • Sınav adaylarıyla yapılan görüşmeler esnasında adaya gönderilen ve imzalattırılan gizlilik ile kullanım koşulları metinlerinde yurt dışına aktarıma ilişkin bilgilendirme yapıldığı, verilerin aktarımı öncesinde mutlaka adaylardan rızalarının alındığı,
  • Sınava girecek adayın sınav yeri ve sonuç bilgilerini öğrenme hakkı kapsamında e-posta adres bilgilerinin alındığı, bu kapsamda ilgili bilgilerin gönderildiği, ticari iletilerle ilgili olarak ise “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”in 6 ncı maddesi hükmü uyarınca temin edilen hizmetler kapsamında gönderilecek ticari iletiler bakımından tekrar onay alınması gerekmediği, 
  • Kişisel verilerin saklanma ve imhasına ilişkin olarak politikalarının bulunduğu, buna göre toplanan kişisel bilgilerin artık gerekli olmadığında, kişisel bilgilerin bir kopyasının saklanmayacağı veya bilgilerin yasalar tarafından gerekmedikçe imha edilmesi ve kimlik giderme politikasına uygun olarak yok edilmesinin, güvenli şekilde silinmesinin veya bilgilerin tanımlanmasının sağlanacağı, bilgilerin dil sınavı veya sınav hazırlama amaçları için toplanması halinde, sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten sonra 3 yıla kadar saklanacağı,  parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı 

ifade edilmiştir. 

Bu kapsamda, kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu iddia edilen yurt dışında yerleşik bulunan şirkete de şikâyet dilekçesindeki iddialara yönelik olarak bilgi verilerek açıklamaları istenilmiş olup, bu kapsamda yurt dışında yerleşik bulunan şirketçe verilen cevabi yazıda özetle; 

  • Dil sınavının arka planına ve bağlamına ilişkin açıklamalara yer verildikten sonra, şikâyete konu (Türkiye’de bulunan) akredite kuruluşun yurt dışında yerleşik bulunan şirketlerinin iştiraki konumunda olduğu ve sınav ortakları tarafından ortaklaşa belirlenen ve Test Merkezleri Sözleşmesinde belirtilen şartlar altında çalışmakla yükümlü olduğu, 
  • Bahsi geçen ortakların sınava ilişkin şartları ve koşulları, gizlilik bildirimini ve kimlik doğrulama süreçleri dahil olmak üzere gereksinimleri ortaklaşa belirledikleri,
  • Katılan için önemli sonuçları olan bir sınav olması sebebiyle, sınava giren kişinin kimliğinin kesin olarak doğrulanabilmesinin ve sonucunun sınava giren kişiyle ilişkilendirmesinin hem sınav katılımcılarının hem de kuruluşların yararına olduğu, buna göre, kimlik doğrulaması ve sınav günü fotoğrafının, sınava girenlerin sonuç formunda gösterilen sonuçlara ulaşan kişi olduklarını kanıtlamalarını sağladığı,
  • Parmakla taramaya ilişkin olarak; test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimatlarının bulunduğu, Türkiye'de alternatifin sunulmadığı bir dönemin bulunduğu ancak Mart 2020'den itibaren Türkiye'deki şirketin uygulamasının parmak taraması yaptırmak istemeyen sınav katılımcılarına bir alternatif sunulması gerektiği yönünde olduğu, ancak bunun her zaman böyle olmadığı bu sebeple bunu düzeltmek için adımlar attıkları, 
  • Parmak taramasını içeren mevcut sürecin, aynı kişinin sınavın tüm bölümlerini aldığını teyit etmek ile sınav katılımcısının gizlilik hakları arasında en iyi dengeyi sağladığından seçildiği, 
  • Parmak izlerinin resimlerinin alınmadığı veya saklanmadığı, yalnızca baskının aynı kişiden olduğunu doğrulamak için kullanılabilen, ancak parmak izi görüntüleri olarak çoğaltılamayan İkili Büyük Nesne Dosyaları (BLOB) olarak adlandırılan sayısal dizeler şeklinde tutulduğu, bu dosyaların da yalnızca sınav merkezinin bilgisayar ekipmanında yerel olarak tutulduğu ve 60 gün sonrasında silindiği, yurt dışına aktarılmadığı, Türkiye’de, Mart 2020'den itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulduğu ve Covid riski nedeniyle de o zamandan beri parmak taramasının hiç kullanılmadığı,
  • Bir yan kuruluşu olarak Türkiye’deki iştiraklerinin rolünün, dil sınavının Türkiye'de test merkezlerinde sunulmasının sağlanması şeklinde olduğu,
  • Tüm ülkelerdeki sınav katılımcılarından parmak taramalarının talep edildiği ancak bunun zorunlu olmadığı, alternatif olarak kayıt kimliğinin manuel olarak kontrol edilmesinin de mevcut olduğu, 
  • Bazı kişisel verilerin Gizlilik Bildiriminde açıklandığı üzere veri sorumlusuna aktarıldığı, ancak bu bilgilerin her kişi için toplanmadığı, sınava girme nedenine ve seçilen sınavın türüne bağlı olarak değiştiği, parmak taramasının ise yurt dışına aktarılmadığı, 
  • Yurt dışına aktarmak için ilgili kişilerin açık rızasının alındığı, Kurulun, taraflarının Kanuna ilişkin yorumlarına katılmaması halinde, özellikle "Yeterli Ülkelerin" herhangi bir onayı yoksa transfer için Kurul onayı alma sürecine katılabilecekleri

beyan edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/08/2021 tarih ve 2021/799 sayılı Kararı ile;

Veri sorumlusu sıfatının belirlenmesi açısından; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun Tanımlar başlıklı 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı; veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, Kurumun internet sitesinde yayınlanan veri sorumlusu-veri işleyen rehberine göre veri işleyenin ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olduğu; bu kişilerin, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi olduğu; bu kapsamda, Türkiye’deki dil sınavlarında iştiraki olarak görev yapmakta olan şirketin ve yurt dışı merkezli şirketten alınan bilgi, belge ve beyanların değerlendirilmesi neticesinde, Türkiye’deki şirketin dil sınavının Türkiye’de uygulanmasında yetkili kılınan bir tedarikçi olduğu, sınavın uygulanmasına dair hizmet sözleşmesi kapsamında yurt dışı merkezli şirketin emir ve talimatlarıyla bağlı olduğu öte yandan adaylardan elektronik ortamda alınan kayıtların tutulduğu elektronik sistemin yurt dışındaki şirkete ait olduğu ve Türkiye’deki şirketin söz konusu sisteme erişim imkanı olmadığı, bu minvalde bahse konu sınav hizmetinin sağlanması noktasında adaylardan/ilgili kişiden edinilen sınava ilişkin genel nitelikteki kişisel verilerin işlenmesi noktasında veri işleyen sıfatını haiz olduğu,
  • Diğer taraftan, sınav güvenliğinin sağlanması noktasında adaylardan sınava giriş esnasında kimliklerinin doğrulanmasını teminen alınan parmak taraması uygulamasının Mart 2020’ye kadar Türkiye’de zorunlu olarak yapıldığı ancak bu tarihten itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulmasına yönelik test merkezlerine talimat verildiğinin beyan edilmesi ve şikâyete konu ilgili kişinin parmak tarama kayıtlarının 2018 yılında alındığı hususları birlikte değerlendirildiğinde, somut olay açısından Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu, bununla birlikte her ne kadar Mart 2020 tarihinden itibaren ve günümüz itibariyle adaylara, verilerinin işlenmesi noktasında seçenek sunulması talimatının verildiği ifade edilse de şikâyet tarihi itibariyle parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, somut olay açısından Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,

İlgili kişinin başvurusunun reddedilmesi açısından; 

  • İlgili kişinin Türkiye’deki şirkete yaptığı başvuruda ad-soyad bilgisini bir harf eksik olarak yanlış yazdığı ancak ilgili kişinin ad-soyad bilgisi kişi tarafından bir harf eksik olarak yazılmış olsa da kişinin kimliğinin teyit edilmesini sağlayacak T.C. kimlik numarasının tam olarak iletildiği diğer taraftan şirket ile yapılan yazışmalarda ilgili kişinin ad ve soyadının verilen cevap e-postalarında tam olarak görüntülenebildiği dolayısıyla söz konusu e-posta adresinin şirketin sisteminde kayıtlı olduğu anlaşılmış olduğundan bir harf sebebiyle ilgili kişinin başvurusunu reddetmesinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin  6 ncı maddesinde belirtilen dürüstlük kuralına uygun olmadığı,
  • Diğer taraftan, ilgili kişinin Kanunun 11 inci maddesi kapsamında bilgi edinmeye yönelik taleplerine, talebi olmayan bir içerikle Tebliğin 6 ncı maddesine uygun olmayacak bir şekilde cevap verildiği bu anlamda ilgili kişinin taleplerinin yanıtsız bırakıldığı, bununla birlikte ilgili kişinin başvurusunda yer alan taleplerini veri sorumlusu adına cevaplayabileceği dikkate alındığında veri işleyenin Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermediği, 

İlgili kişinin görsel kaydının ve parmak izinin herhangi bir veri işleme şartına dayanmaksızın alındığı iddiası açısından; 

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a) Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b) Belirli, açık ve meşru amaçlar kapsamında, 
    c) Doğru ve gerektiğinde güncel olma şartıyla, 
    ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
    ilkelerine uygun olarak işlenebildiği, bu ilkelerden, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi”nin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını öte yandan sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak da veri işlenmesi yoluna gidilmemesini içerdiği,
  • Ölçülü olma ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını, diğer bir deyişle veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade ettiği, bu kapsamda, veri sorumlusunun amacı çerçevesinde ölçülü olma ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi bunun dışında, amaç için gerekli olmayan kişisel verilerin işlenmesi faaliyetinden kaçınması gerektiği,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinde  “…(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği,
  • Somut olayda, sınavın güvenirliliğinin ve güvenliğinin sağlanması noktasında 2020 Mart dönemi öncesinde, adaylardan parmak taramalarının alınmasında ilgili kişiden/adaylardan alternatif yollar yerine açık rızalarının alınması yoluna gidildiği dolayısıyla Kanunun 4 üncü maddesinde yer alan “ölçülü olma” ilkesine aykırı davranıldığı, 
  • Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu anlaşıldığından şikâyete konu somut olay açısından 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği, 

İlgili kişinin kişisel verilerinin yurt içi ve yurt dışına aktarılmasına ilişkin bilgilendirilmediği iddiası hakkında: 

  • Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümlerinin düzenlendiği, 
  • Taraflardan alınan savunma yazılarında ve internet sitelerinde yapılan incelemede kişisel verilerin yurt dışına aktarımına açık rıza verilmesi gerektiği, açık rıza verilmemesi halinde sınav hizmetinin ifa edilemeyeceği, hizmetin ifası için söz konusu kişisel verilerin test ortaklarına aktarılmasının zorunlu olduğunun beyan edildiği ancak  genel nitelikli kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgiler olduğu ve adayların açık rızasına tabi olmadığı bununla birlikte aktarımın adayların açık rızaları kapsamında yapıldığının anlaşıldığı, 
  • Ayrıca, gerek internet sitesinde gerekse sunulan bilgi ve belgelerde açık rızanın sadece yurt dışına aktarıma yönelik olarak alınmadığı, yurt dışına aktarıma ilişkin rızanın sınava ilişkin diğer koşulların da yer aldığı “şartlar ve koşullar” metnine istinaden hizmetten faydalanmanın şartı olarak alındığı, somut olaya konu olan ilgili kişinin onayının da aynı şekilde alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtların tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği ve yurt dışı ile yürütülen görüşmeler neticesinde ilgili kişiye ait bahse konu kayıtların imha politikasına uygun  şekilde yok edildiği bilgisini aldığı,
  • Bu itibarla, hizmetin ifası kapsamında zorunlu olarak alınması gereken genel nitelikteki kişisel verilerin yurt dışına aktarılmasında açık rızanın sınava ilişkin şartlar ve koşulların yer aldığı metinler aracılığıyla genel olarak alınmasının açık rızayı sakatlayacağı dikkate alındığında; yurt dışına aktarımın Kanunun 9 uncu maddesinin (1) numaralı fıkrası gereğince açık rıza kapsamında yapılmaya devam edilmesinin tercih edilmesi halinde açık rızanın Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak şartıyla yurt dışına aktarım özelinde münferiden alınması gerektiği ya da açık rıza almak yerine Kanunun 9 uncu maddesinin (2) numaralı fıkrası uyarınca "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" kapsamında yurt dışına aktarılmak istenmesinin tercih edilmesi halinde ise Kanunun 9 uncu maddesinin (1) numaralı fıkrasına uygun bir taahhütnamenin hazırlanarak Kurulun onayına sunulması gerektiği,

Reklam ve pazarlama içerikli e-postalara rıza vermediği ve bu konuda aydınlatılmadığı iddiası açısından;

  • Konu hakkında ilgili kişinin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığı sonucuna varıldığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Türkiye’deki şirketin sisteminde kayıtlı olduğu ve ilgili kişinin kimliğinin tespit edilebileceği anlaşılmış olduğundan bir harf sebebiyle “…başvurucu ismi kayıtlarımızda bulunamamıştır…” şeklinde ilgili kişiye cevap verilmesinin Tebliğin 6 ncı maddesinde belirtilen dürüstlük kuralına uygun olarak değerlendirilmemesi sebebiyle Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda uyarılmasının, 
  • Diğer taraftan ilgili kişinin taleplerinin Türkiye’deki şirket tarafından yanıtsız bırakıldığı göz önüne alındığında ise ilgili kişinin başvurusunda yer alan taleplerini veri işleyenin veri sorumlusu adına cevaplayabileceği dikkate alındığında, veri işleyenin bu talepleri detaylı şekilde yanıtlaması ve sonucundan Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına, 
  • Sınava girişlerde parmak taraması kayıtlarının alınması uygulamasına ilişkin veri sorumlusu tarafından test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimat verildiğinin belirtildiği, Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu zira bu uygulamanın Türkiye’de Mart 2020'den itibaren değiştirildiği ve parmak taramasına alternatif bir kimlik doğrulama sisteminin sunulduğunun beyan edildiği, şikâyete konu somut olay açısından ise 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında sayılan tedbirlerin alınmadığı kanaatine varıldığından, yurt dışı merkezli veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Türkiye’de sınava girişte kimlik doğrulaması amacıyla adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması, bu kapsamda veri işleyen başta olmak üzere Türkiye’deki yetkili test merkezlerinin bu sisteme uymasının sağlanması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikayet dilekçesinde Kurula ilettiği “reklam, pazarlama ve tanıtım amaçlı maillerin geldiği, bu işleme faaliyetine rıza vermediği ve söz konusu işleme faaliyeti konusunda aydınlatılmadığı” iddialarına ilişkin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığının değerlendirilmesi sebebiyle, veri sorumlusunu muhatap başvurusunda talep etmediği, ancak Kurula yaptığı başvuruda talep ettiği konuların inceleme sürecine dahil edilmediği hususlarında ilgili kişiye bilgi verilmesine

karar verilmiştir.

06.07.2021: “İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/670
Konu Özeti : İlgili kişinin veri sorumlusuna yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi

 

Kuruma intikal eden şikâyet dilekçesinde, ilgili kişinin veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunduğu, bu sebeple söz konusu internet sitesi üzerinden kişisel verilerini içerir bilgileri veri sorumlusuyla paylaştığı, başvurunun akabinde mülakata alındığı ancak mülakat neticesinde başarılı olamadığı, bu sebeple de veri sorumlusuyla kişisel verilerini paylaşması anlamında bir neden kalmadığı, bu bağlamda söz konusu internet sitesine girerek oluşturduğu özgeçmişi sildiği, akabinde veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına telefon ve e-posta yoluyla veri sorumlusuna başvuruda bulunduğu, ancak ilgili kişinin başvurusuna istinaden veri sorumlusu tarafından e-posta yoluyla yapılan bilgilendirmede ilgilinin kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı bilgisinin tarafına iletildiği ifade edilerek, veri sorumlusuna ilişkin herhangi bir iş talebi, ilgisi ya da ilişiği olmadığını iletmesine rağmen kişisel verilerinin veri sorumlusu tarafından silinmemesi nedeniyle Kuruma şikayette bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin söz konusu internet sitesi aracılığıyla iş başvurusunda bulunduğu, gerek sitede doldurduğu form aracılığıyla gerekse daha sonraki süreçlerde bankalarına yazılı olarak bildirdiği ve ilgili kişiyle gerçekleştirilen mülakatlar esnasında beyan ettiği kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesine uygun şekilde kendisine gerekli aydınlatmalar yapılarak işlendiği, 
  • Söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" hukuki sebebi kapsamında ilgili kişinin iş başvurusunun incelenebilmesi ve iş sözleşmesinin kurulabilmesi için gerekli olan bilgilerin temini, işe yeterlilik değerlendirmesi ve sair testlerin yapılabilmesi; (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin başvurulan pozisyona uygunluğunun incelenebilmesi, iletilen bilgilerin doğruluğunun teyit edilebilmesi, gerekli mülakatların yapılabilmesi ve (f) bendine yer alan "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin şirket prensiplerine uygunluğunun değerlendirilebilmesi, diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği,
  • Veri sorumlusu tarafından yapılan değerlendirmeler sonrasında ilgili kişinin iş başvurusunun kabul edilmemesinin akabinde; yukarıda sayılan amaçlarla işlenen kişisel verilerin, ilgili kişinin talebi üzerine Kanunun 7 nci maddesine uygun olarak işleme amacının ortadan kalkması sebebi ile silindiği ancak söz konusu kişisel verilerden yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirilmesine esas genel gerekçesinin muhafaza edildiği, bu verilerin muhafaza edilmesindeki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, zira bu şekilde sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı ve bu saklama amacının ilgili kişinin Kanunun 11 inci maddesi uyarınca yaptığı başvurusunda ilgili kişiye iletildiği,
  • İlgili kişinin ikinci başvurusunda, isim-soy isim ve kimlik bilgisi verilerinin de silinmesini talep ettiğinin anlaşıldığı, ilgili kişinin kişisel verisi üzerindeki tasarruf yetkisinin öncelikli olduğu düşüncesinden hareketle ilgili kişinin isim-soy isim ve kimlik bilgilerinin de silinmesi kararının alındığı ve ilgili kişiye kişisel verilerinin ilk periyodik imha işleminde silineceği bilgisinin iletildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/670 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7 nci maddesinin “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmünü amir olduğu, bu çerçevede, Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin yürürlüğe girdiği, 
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun ifade edildiği,
  • Yönetmelik kapsamında kişisel verilerin silinmesinin iki şekilde düzenlendiği, ilk olarak kişisel verilerin veri sorumlusunca resen silinmesi haline, ikinci olarak da kişisel verilerin ilgili kişinin başvurusu kapsamında silinmesi haline ilişkin düzenleme yapıldığı,
  • Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri başlıklı” 11 inci maddesinin ‘‘(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.’’ hükmünü haiz olduğu,
  • Ayrıca aynı Yönetmeliğin, kişisel verilerin ilgili kişinin talebi çerçevesinde silinmesini düzenleyen ‘‘Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri’’ başlıklı 12 nci maddesinde de; 
    ‘‘(1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
    b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
    c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
    ’’ düzenlemesinin yer aldığı,
  • İlgili kişinin kendisine ait kişisel verilerin silinmesi hususunda veri sorumlusuna ilettiği talebin, karşılanmaması iddiasına ilişkin olarak veri sorumlusundan alınan cevabi yazıda ilgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c), (e) ve (f) bentleri kapsamında, ilgili kişiye aydınlatma yapılması suretiyle işlendiği, söz konusu verilerin ilgili kişinin ilk başvurusu sonucu silindiği, ancak ad-soyad, kimlik bilgileri ve mülakata ilişkin değerlendirme notlarının veri sorumlusu tarafından muhafaza edilmeye devam edildiği, buradaki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvurusu sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, bu verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer aldığı üzere, veri sorumlusunun ‘‘meşru menfaati’’ çerçevesinde depolanmaya devam edileceğinin bildirildiği ancak ilgili kişinin bu durumu kabul etmeyerek tekrar başvuruda bulunduğu ve başvurusunda veri sorumlusu banka ile ilgili herhangi bir kariyer planı ve olası iş başvurusu olmayacağını belirterek bankada muhafaza edilen tüm kişisel verilerinin silinmesini talep ettiği, bu talebe karşılık olarak da veri sorumlusunca yapılan değerlendirmeler sonucu ilgili kişinin kendisine ait kişisel verileri üzerindeki tasarruf yetkisini önceleyerek ilgili kişiye ait tüm kişisel verilerin ilk periyodik imha sürecinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri” başlıklı 11 inci maddesi gereği ilk periyodik imha işleminde silineceği hususunu ilgili kişiye ve Kuruma beyan ettiği,
  • Ancak; ilgili kişinin Kuruma ilettiği şikayet ekinde de yer alan veri sorumlusuna yaptığı ilk müracaata istinaden veri sorumlusu banka tarafından verilen yanıtta yer alan ‘‘ilgili kişinin olası iş başvuruları adına kimlik bilgileri, ad, soyadı bilgilerinin bankanın meşru menfaati çerçevesinde saklanacağı’’ ifadesinde muğlaklık söz konusu olduğu, zira veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamında meşru menfaati çerçevesinde veri işlemesinin, veri sorumlusuna sınırsız bir alan tanımadığı, 
  • Bu çerçevede ilgili kişinin ileride yapacağı olası başvurular adına kişisel verilerinin bu başvurularda kullanılacak ve veri sorumlusuna bildirilecek kişisel verilerin teyit edilmesi amacıyla veri sorumlusu tarafından muhafaza edilmesi hususunda, veri sorumlusunun meşru menfaate dayanarak yaptığı savunmasının değerlendirilmesi gerektiği, 
  • Bu kapsamda, ilgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, ilgili kişinin verilerinin saklanması hususunda veri sorumlusunun meşru menfaatinin açık ve belirli olmadığı, veri sorumlusunun işleme faaliyetinden sağlaması beklenen yararın kişisel veri işlenmeksizin başkaca bir yol ve yöntemle elde edilebileceği ve söz konusu veri işleme faaliyetinin çok sayıda kişiyi etkileyecek şekilde kurumsal bir fayda sağlamadığı değerlendirildiğinden söz konusu kişisel verilerin işlenmesinde veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine baskın gelmediği,
  • İş başvurusunun kabul edilmemesi ile birlikte Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birinin devam etmediği göz önünde bulundurulduğunda her ne kadar veri sorumlusu tarafından Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11 inci maddesi gereği ilk periyodik imha sürecinde imha talebinin yerine getirileceği bilgisi ilgili kişiye verilmiş olsa da verilerin imha talebinin ilgili kişi tarafından Kanunun 7 ve 11 inci maddesi kapsamında veri sorumlusuna yeniden iletildiği, söz konusu imha talebi göz önüne alındığında mezkur Yönetmeliğin 11 inci maddesi kapsamında veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek ‘‘resen’’ imha işleminin söz konusu olamayacağı, aksine aynı Yönetmeliğin 12 inci maddesi kapsamında ilgili kişinin talebi üzerinde imha işleminin gerçekleştirilmesinin gerektiği; bu itibarla da imha işleminin bu madde kapsamında ele alınması gerektiği

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına, 
  • İlgili kişinin kişisel verilerinin imha edilerek ilgili kişiye ve Kurula konu hakkında bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • İş müracaatı olumsuz sonuçlanmış başka kişilerin bulunması durumunda onların da kişisel verilerinin Kanunun 7 nci maddesi hükümleri çerçevesinde imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/859
Konu Özeti : İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, internet hizmeti alımı talebini karşılamak amacıyla evine gelen internet hizmeti sağlayan şirket yetkilileri tarafından kimlik bilgilerinin sözleşme üzerine yazılmasına rağmen ayrıca kimlik fotoğrafının da çekilmesinin istendiği, kendisinin kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istediyse de bunun firma tarafından kabul edilmediğinin ifade edildiği, bunun üzerine hizmet alımını reddetmesi sebebiyle yetkililerin evden ayrıldığı, ardından veri sorumlusundan kimlik bilgilerinin silinmesini talep ettiği, ancak talebinin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı hususları ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında konu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Şirket tarafından abonelere temel ve katma değerli elektronik haberleşme hizmetlerinin sunumu, faturalama, müşteri hizmetleri, şikayetlerin yanıtlanması gibi amaçlar için gerekli olan hallerde her bir kategori bazında kişisel verilerin işlenebildiği,
  • Kimlik bilgilerinin T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, medeni durum, cinsiyet, kimlik belgesi örneği, fotoğraf gibi kişisel verileri, iletişim bilgilerinin ise adres, telefon/faks numarası, e-posta adresi gibi kişisel verileri ifade ettiği,
  • Yukarıda sıralanan kişisel veri tiplerinin işlenme gerekçesinin temel olarak abonelerin şirketle yaptığı abonelik sözleşmesi kapsamında,  Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde ifade edilmiş olan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca olduğu,
  • Şirketin Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş ve temel iştigal alanının 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuat çerçevesinde elektronik haberleşme hizmetlerinin sunulması olduğu, bu kapsamda Şirketin tüm ürün ve hizmet süreçleriyle ilgili BTK düzenlemelerine uymakla yükümlü olduğu, 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bilgi Teknolojileri ve İletişim Kurumu, Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasının 

“...
(6) Abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmeci abonelik sözleşmesinin yanında;
a)    Bireysel aboneliklerde T.C. Kimlik Numarası ile kimlik belgesinin,
b)    Kurumsal aboneliklerde yetkili kişinin T.C. Kimlik Numarası ve kimlik belgesi ile temsile yetkili olduğuna dair belge ile imza sirkülerinin,
c)    Yabancı uyrukluların aboneliklerinde geçerlilik tarihi uygun pasaport, uluslararası geçerliliği olan muadili belge veya ulusal geçerliliği olan kimlik muadili belgenin, birer örneğini almakla yükümlüdür. Abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenir. İşletmeci tarafından bu belgelerin örneği asılları üzerinden ve yalnızca uygun elektronik ortama aktarılarak alınır.
(7) İşletmeciler, abonelik sözleşmelerini ve sözleşmenin tesisi için gerekli bilgi ve belgeleri kuruluş şekline uygun olarak muhafaza etmekle yükümlüdür.” 
hükümlerini içerdiği,

  • Bu kapsamda, abonelik sözleşmesi yapılması için kimlik fotoğrafının çekilmesi uygulamasının Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrası gereğince yükümlülük olduğu, 
  • Bu yükümlülüğün yerine getirilebilmesi için şirket tarafından özel bir uygulama geliştirilmiş olduğu ve kimlik belgesinin fotoğrafının ilgili çalışan tarafından şirketin bu özel uygulaması ile çekildiği, bu uygulama ile çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, herhangi bir cihaz içerisinde veya bayi sisteminde saklanmadığı, mevzuatın izin verdiği yahut yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı,
  • Uygulama üzerinden çekilen ve gönderilen fotoğrafın çalışanın cihazında muhafaza edilmesinin mümkün olmayıp, belge fotoğraflarının uygulama üzerinden ve usulüne uygun olarak gönderilip gönderilmediğinin evrak arşiv sistemlerinde düzenli olarak kontrol edildiği ve denetlendiği,
  • Bu kapsamda kimlik belgesinin fotoğrafının çekilmesine ilişkin hukuki gerekçenin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde ifade edilmiş olan “Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması.” hükmü olduğu, 
  • Öte yandan, kişisel verilerin, Kanun ve yukarıda sayılan mevzuat başta olmak üzere ve bunlarla sınırlı olmaksızın ilgili tüm mevzuata uygun olarak, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, taraflarınca re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği,
  • İlgili kişinin şikayetine ilişkin taraflarınca yapılan incelemelerde, ilgili kişinin talebi ile abonelik sözleşmesi yapılması için şirket yetkililerince evine gidildiği, ancak kimlik fotoğrafının çekilmesinin istememesi sebebiyle sözleşme kurulmadığı ve kimlik fotoğrafının çekilmediğinin anlaşıldığı,
  • Bununla birlikte ilgili kişinin kendisinin veya diğer resmi kurum/adli mercilerin şirketten bu kişiyle ilgili bilgi talep etmesi durumunda, ilgili kişinin şirkete başvurusunun incelenip ilgili bilgilere ulaşılabilmesi, başvuru sahibinin kimliğinin teyit edilmesi ve şikayet konusuyla eşleştirilmesi, bir başka deyişle ilgili kişinin “tanınabilmesi” için gerekli kişisel verilerinin saklanması gerektiği,
  • Şirketçe ilgili mercie şikayetçi bazında yanıt verilebilmesi ve bilgi/belge sunulabilmesi için ilgili kişilerin asgari olarak kimlik bilgilerinin tutulması gerektiği, Kurumun bilgi talepli yazısının cevaplanması için gerekli verilere ulaşılmasının dahi ilgili kişinin bu işlem için ihtiyaç olan kişisel verilerinin saklanması neticesinde mümkün olduğu, bu nedenlerle ilgili kişinin kişisel verilerinin silinmesine dair başvurusunun reddedildiği, ancak söz konusu verilerin bu işleme amaçları dışında işlenmesinin söz konusu olmayacağı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarih ve 2021/859 sayılı Kararı ile;

  • Kanunun Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,  “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasında yer alan hüküm uyarınca veri sorumlusu tarafından abonelik sözleşmesinin tesisi için gerekli kimlik belgelerinin asılları üzerinden elektronik ortama aktarılmasının zorunlu olduğunun anlaşıldığı, dolayısıyla ilgili kişilerin kimlik belgesinin fotoğrafının çekilmesi yönündeki kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü temelinde gerçekleştirildiği, bu anlamda söz konusu kişisel veri işleme faaliyetinde Kanuna aykırılık unsuru bulunmadığı, 
  • Somut olayda ise, veri sorumlusundan alınan cevap yazısında ilgili kişinin kimlik fotoğrafının çekilmediği ve yalnızca kimlik bilgilerinin ilgili kişi ile abonelik sözleşmesi yapılması için o aşamada işlendiğinin belirtildiği göz önünde bulundurulduğunda söz konusu kimlik bilgilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiğinin anlaşıldığı, 
  • Bununla birlikte ilgili kişinin sonraki aşamada sözleşme yapmaktan vazgeçmesi üzerine bilgilerinin silinmesini talep ettiği, veri sorumlusu tarafından ise ilgili kişinin tüketici sıfatını kazanması nedeniyle veri sorumlusu bünyesinde kişinin kimlik teyidinin yapılması adına asgari düzeyde kimlik bilgilerinin işlenmesinin söz konusu şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği,
  • Her ne kadar sözleşme taraflar arasında kurulmamış olsa dahi kişinin tüketici sıfatını kazanması nedeniyle şirket hakkında çeşitli mecralarda ileri sürebileceği şikayetlerin söz konusu olabileceği, bu anlamda veri sorumlusunun kendini savunma hakkının gündeme geldiği, Anayasanın 36 ncı maddesinde adil yargılanma hakkının; herkesin, meşru vasıta ve yollardan faydalanmak suretiyle yargı mercileri önünde davacı veya davalı olarak iddia ve savunma ile adil yargılanma hakkına sahip olması şeklinde düzenlendiği, savunma hakkının, suç islediği iddia edilen kişinin, devlet ya da bireyler tarafından kendi varlığına yöneltilen eylem ve işlemlere karşı kendisini korumak için yasal yollara başvurması veya yasal imkanlardan faydalanması olarak tanımlandığı,
  • Bu kapsamda, ilgili kişinin talebi üzerine, veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartının ortadan kalktığı,  bunun yanı sıra şikayet süreçlerinin sağlıklı yürütülmesi adına kimlik bilgilerinin işlendiği ve ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında savunma hakkının gereği gibi sağlanabilmesini teminen asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığı, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği

değerlendirmelerinden hareketle,

  • İlgili kişinin talebi üzerine veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
26.08.2021: “Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/850
Konu Özeti : Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi

 

Kuruma intikal eden ihbarda özetle, şikayetçinin ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğradığı, ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığı, çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediklerini ifade ettikleri, bu uygulamanın şahsî telefonlar üzerinden kullanılmasının, daha sonra işten ayrılan bir şahsın elinde birçok bilginin olmasına sebep olabileceği ve kötü niyetli işlemler yapılabilme riski taşıdığı, telekomünikasyon alanında faaliyet gösteren bir diğer firmanın, benzer bir uygulamayı kurumsal olarak tanımlanmış, IP adresi belirlenmiş, güvenli ve takip edilebilir bir cihazla yaptığı, şikayetçinin bu hususta Bilgi Teknolojileri ve İletişim Kurumuna (BTK) başvurduğu ve şikayete konu şirketin verdiği yanıtta “…..2018 tarihi itibariyle Kimliklerin Dijital Ortama Aktarılması projesini devreye aldığı, bu proje ile kimliklerin dijital ortama aktarılması işleminin gerçekleştirildiği, bu uygulamanın yalnızca mobil cihazlarda çalıştığı, her personelin kendi telefonu üzerinden kendi kullanıcı kodu ve şifresi ile bu sisteme girerek kimliği tarama işlemini gerçekleştirdiği, ancak kimliklerin telefonda saklanması, depolanması ve üçüncü kişilerle paylaşılması durumunun söz konusu olmadığı” ifadelerine yer verildiği, fakat ihbar sahibinin bu durumda dahi müşterilerin kimlik bilgilerinin, veri kurtarma bilişimi sebebiyle tehdit altında bulunduğunu düşündüğü ifade edilerek, konu hakkında gerekli incelemenin yürütülmesi talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun telekomünikasyon sektöründe faaliyet göstermekte olduğundan, BTK mevzuatı kapsamında faaliyetlerini sürdürdüğü ve Numara Taşınabilirliği (hat taşıma) işleminin de ayrıntılı olarak 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuatlar kapsamında düzenlendiği, 
  • Yine BTK tarafından yayımlanan “Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esaslar”da numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntısı ile hüküm altına alındığı,
  • Numara taşıma taleplerinde, Numara Taşıma Yönetmeliğinin 7 nci maddesi ve Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esasların 5 inci maddesinin (2) numaralı fıkrasının a/2 bendi kapsamında; abone tarafından taşınacak olan numaranın, kimlik bilgilerinin, verici işletmeci bilgisinin, irtibat bilgilerinin ve tercih ettiği taşıma zamanının, doldurulan matbu bir form alıcı işletmeye bildirilmesi gerektiği, alıcı işletmecinin söz konusu talep formunu, kimlik bilgileri ve diğer ilgili bilgileri alarak verici işletmeye göndermek üzere söz konusu belgeleri numara taşınabilirliği sistemine yüklemekle yükümlü olduğu, bu kapsamda söz konusu bilgilerin yanı sıra dijital sisteme aktarılmak üzere abone kimliği ve söz konusu işletmeci ile taşıma işleminin gerçekleşmesinden itibaren geçerli olacak şekilde abonelik sözleşmesinin alındığı,
  • Bu kapsamda Şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı,
  • Diğer taraftan BTK’nin 28.10.2017 tarih ve 30224 sayılı Resmî Gazetede yayımlanan “Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği”nin “Abonelik sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 nci maddesinin (6) ve (7) numaralı fıkralarının ilgili bentlerinde; abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmecinin, abonelik sözleşmesinin yanında, bireysel aboneliklerde T.C. kimlik numarası ile kimlik belgesinin birer örneğini almakla yükümlü olduğu ve abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazını isteyeceği, işletmecinin bu belgelerin örneğini, asılları üzerinden ve yalnızca uygun elektronik ortama aktararak alacağı hükümlerinin yer aldığı,
  • Dolayısıyla veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak söz konusu kişisel verileri işlediği,
  • Veri sorumlusunun, bilgi güvenliği politikaları ve BTK düzenlemeleri kapsamında her türlü teknik ve idarî tedbiri aldığı ve bunların, ilgili kişinin başvurusunda belirttiği tedbirlerden daha ileri tedbirler olduğu,
  • Abonelik veya numara taşımaya ilişkin bir başvuru esnasında müşteriden alınacak olan kimlik belgesi örneğinin, uygulama üzerinden elektronik ortamda alınarak veri sorumlusunun merkezî sunucularına aktarıldığı ve ilgili düzenleme gereği muhafaza edilecek şekilde aboneyle ilişkilendirildiği, 
  • Söz konusu uygulamanın yalnızca mobil telefonlarda çalışıyor olduğu ve anılan uygulamada gerekli güvenlik önlemlerinin alındığı, (Alınan güvenlik önlemlerinin ise detaylı şekilde açıklandığı ve tevsik edici belgelerin yazıları ekinde Kuruma sunulduğu görülmüştür)

ifade edilmiştir.

Veri sorumlusundan ilgili cevabın alınmasını müteakip 19.01.2021 tarih ve 2021/55 sayılı Kurul Kararı ile; “... konunun detaylarının ortaya koyulabilmesi adına üç operatör şirketini temsil eden Mobil Telekomünikasyon Operatörleri Derneği’nden (m-TOD) bilgi temin edilmek suretiyle incelemenin devamına...” karar verilmiş ve bahse konu Kurul Kararı uyarınca m-TOD’a başvuru konusu ile ilgili bilgilendirmeler yapılarak;

  • İhbar sahibi tarafından Kuruma intikal ettirilen hususların veri güvenliği ihlali riski oluşturup oluşturamayacağı,
  • Bayi personelinin şahsî cep telefonlarına müşterilerin kimlik fotokopilerini kaydetmesini önlemek maksadıyla, bu işlemin her bayide yalnızca bu işe özgülenen, kurumsal olarak takip edilebilen ve yetkisiz erişimi mümkün olmayan tablet veya cep telefonu gibi bir mobil cihaz vasıtasıyla ya da ilgili kişinin kendisi tarafından gerçekleştirilmesinin operatör şirketleri açısından mümkün olup olmadığı

hususlarında bilgi talep edilmiştir.

m-TOD’un konuya ilişkin cevabî yazısında ise özetle;

  • Derneğin tüm üyelerinin; ürün ve hizmet süreçleriyle ilgili olarak BTK düzenlemelerine uymakla yükümlü olduğu, BTK tarafından konuya ilişkin yönetmeliklerin dijitalleşme trendi göz önüne alınarak güncellendiği ve bu sebeple mobil operatörlerin, abonelik tesis ederken T.C. kimlik numarası ile kimlik belgesini asıllarına uygun olarak elektronik ortama aktararak almak zorunluluğunun bulunduğu,
  • Cep telefonlarının yalnızca mobil operatörlerinin bayi ağında değil, birçok firmanın personeli tarafından iş amaçlı olarak yaygın bir şekilde kullanıldığı, alınan tüm idarî ve teknik tedbirlere rağmen insan faktörü sebebiyle her iş sektörü için riskler doğabildiği, mobil telekomünikasyon sektöründe karşılaşılacak risklerin, diğer sektörlerdeki herhangi bir güvenlik riskinden daha farklı olmayacağı, öte yandan kimlik fotokopisinin alındığı geçmişteki uygulamalara nazaran şimdiki metodun en güvenli metot olduğu,
  • Bayi kanalıyla yapılan abonelik süreçlerinde müşterilerin kimlik fotokopilerinin alınması sürecinin, işletme tarafından özel olarak tahsis edilmiş cihazlar ya da işletmecinin uygulamasının kurulumunun yapıldığı şahsi cihazlar üzerinden yürütülmekte olduğu, bu iki yöntemin de güvenli olduğu, bununla birlikte işletmeci tarafından özel olarak tahsis edilmiş cihazların bayilerde gerçekleştirilen abonelik süreçlerinde kullanımının yaygınlığının artırılması yönündeki çalışmaların sürdürüldüğü,
  • Abonelik ilişkisinin tesisi sırasında kurumsal cihazlar veya personele ait fakat içerisinde güvenlik tedbiri alınmış kurumsal yazılım bulunan şahsî cihazlar vasıtasıyla işlem yapılabildiği ve bu iki usulün de güvenli olduğu ancak ilgili kişinin kendisi tarafından bu işlemlerin gerçekleştirilmesinin mümkün ve güvenli olmayacağı, zira bu suretle uygulamanın yetkisiz erişime açılmış olacağı ve kötü niyetli kullanım olasılığının artacağı, uygulamanın uç tarafında ise işletme servisleriyle entegrasyon bulunduğu ve ilgili kişilerin bu sisteme erişmesinin yüksek dereceli güvenlik riski doğurabileceği, ayrıca herkesin bu uygulamaları kullanmaya yetkin telefonunun olmaması nedeniyle sistemde yeknesaklık sağlanamayacağı

belirtilmiştir.

Söz konusu resen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Kararı ile; 

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağladığı, anılan maddenin (3) numaralı fıkrasında veri sorumlusunun, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlü kılındığı,
  • İhbar sahibinin veri sorumlusu bünyesinde çalışan personellerin abonelik veya numara taşıma işlemleri sırasında müşterinin kimlik belgesinin fotoğrafını kendi şahsî cep telefonlarıyla çektiklerini ifade ederek, bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ettiği, veri sorumlusunun da bu metodu kullandığını doğruladığı fakat veri sorumlusunun; söz konusu kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığını, bu aktarım işlemini gerçekleştiren uygulamayla ilgili her türlü teknik ve idarî tedbirin alındığını, müşteri kimlik bilgilerinin asla şahsî telefonlarda depolanmadığı ve uygulamadaki tedbirler sayesinde veri sorumlusunun çalışanlarının çekilen kimlik fotoğraflarına tekrar erişemediği hususlarını ifade ederek, bu verileri işlemenin yasal ve güvenli olduğunu savunduğu,
  • Veri sorumlusunun, ilgili verileri, Kanunun “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu,
  • Öte yandan veri sorumlusunun, müşterilere ait kimlik belgelerinin üzerinden temin edildiği uygulamanın çalışmasına dair makul teknik tedbirleri aldığı ve bunun yanı sıra bahse konu uygulamayı kullanan personele yönelik de gizlilik taahhütnameleri imzalatmak, eğitim vermek, farkındalık duyuruları yayınlamak gibi idarî tedbirlere de başvurduğu, bu kapsamda veri sorumlusunun, Kanunun 12 nci maddesinde belirtilen yükümlülüklerini yerine getirdiği,

değerlendirmelerden hareketle,
 

  • Numara taşıma işlemi sırasında ilgili kişilerin kimlik fotokopilerinin alınmasının mevzuatta öngörülmüş olması sebebiyle bahse konu durumun Kanuna ve ilgili mevzuata aykırılık teşkil etmediğine,
  • Veri sorumlusu tarafından uygulamanın çalışmasına ilişkin alınmış olan teknik ve idarî tedbirlerin makul olduğu değerlendirildiğinden somut hadisede Kanunun 12 nci maddesinde belirtilen yükümlülüklere aykırı bir husus bulunamadığına, 
  • Bununla birlikte, Kanunun 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanması noktasında veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına,
  • Öte yandan Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

06.07.2021: “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/666
Konu Özeti : Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi

 

Kuruma intikal eden şikâyette özetle; şikâyetçinin veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından hastaneden temin edildiği ve Aile Mahkemesinde tarafına açılan yargılamanın iadesi davasına ilişkin dosyada, içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel veriler içeren bilgisayar ekran görüntüsünün delil olarak kullanıldığı, konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna, hastane tarafından herhangi bir cevap verilmediği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şikayetçi ile hastane arasında şikâyet öncesinde ve sonrasında devam eden bir dava süreci bulunmadığı,
  • Hastane bünyesinde sağlık ve destek ekipleri dahil olmak üzere toplam 653 personelin çalıştığı, bu nedenle kuruma çeşitli kanallardan gelen ve kurum tarafından gönderilen evrak ve taleplere ilişkin yoğun bir trafiğin mevcut olduğu, bu nedenle gün içerisinde kuruma gelen ve gönderilen evrak ve talep sayılarının değişkenlik göstermekle birlikte gün içerisinde yaklaşık olarak bu sayının yetmişi bulduğu, evrak trafiğinin yoğunluğu nedeniyle bir hata yaşandığı ve başvurunun ilgili birimlere iletilmesindeki aksaklık nedeniyle başvuru sahibi kişiye dönüş yapılamadığı,
  • Cumhuriyet Başsavcılığınca hazırlanan iddianame ve ekinde yer alan görüntünün doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğunun tespit edildiği,
  • Bu ekrana ilgili birimde çalışan yatan hasta misafir hizmetleri çalışanları ve hemşirelerin erişim yetkisinin bulunduğu, 
  • Mevcut bölümde hizmet veren kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, 
  • Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki kişiden alınan ifadelerden de anlaşılacağı üzere her iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı,
  • Hastane olarak hasta bilgi gizliliği, hasta mahremiyeti konularındaki prensipleri gereği hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda oldukça detaylı idari ve teknik tedbirler alındığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Kararı ile;

  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ise  “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14 üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.” hükmünü haiz olduğu, 
  • Somut olayda, ilgili kişinin Kanunun 13 üncü maddesi çerçevesinde yazılı olarak veri sorumlusu hastaneye yaptığı başvurunun PTT gönderi belgesi sorgulamasında veri sorumlusunun söz konusu başvuruyu teslim aldığının görüldüğü, ancak yasal süresi içinde başvuruya cevap verilmemesi üzerine şikâyetçi tarafından Kanunun 14 üncü maddesi uyarınca Kuruma şikâyette bulunulduğunun anlaşıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceğinin, Tebliğin 6 ncı maddesinde ise veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Veri sorumlusundan alınan cevap yazısında; hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğunun görüldüğü, bu kapsamda veri sorumlusunun Kanun kapsamında kendisine yapılan başvurular ile ilgili olarak Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmediği kanaatine varıldığı, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı, 
  • Somut olayda, veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği, 
  • Her ne kadar veri sorumlusu tarafından hasta bilgi gizliliği, hasta mahremiyeti, hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda çalışanlara sürekli eğitimler verildiği ve sürece ilişkin yazılı kurumsal dokümanlar oluşturulduğu ifade edilse de söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olunduğu,
  • Veri sorumlusu hastane tarafından kişisel verilere hukuka aykırı erişimi önlemek adına alınan idari ve teknik tedbirlerin yetersiz kaldığı ve sonuç olarak şikâyetçinin velisi bulunduğu ilgili kişiye ait kişisel verilerin üçüncü kişilerce erişimine neden olunduğu

değerlendirmelerinden hareketle;

  • Şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği dikkate alındığında, bu konuda veri sorumlusu Hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusu hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğu görüldüğünden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

06.07.2021: “İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/664
Konu Özeti : İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; kendisinin de abonesi olduğu doğal gaz dağıtım hizmeti veren şirketin (veri sorumlusu) düzenlediği faturalarda “Otomatik Ödeme Talimatı” bölümünde kişilerin ödeme yaptığı banka adı bilgisine yer verildiği, faturada bu bilgiye yer verilmesi sebebiyle ilgili kişinin hangi bankada hesabının bulunduğunun açıkça anlaşıldığı, söz konusu bilginin kişisel veri niteliğini haiz olduğu, faturada bu bilgiye yer verilmesinin ilgili kişinin kişisel verisinin üçüncü kişilerle paylaşılması anlamına geldiği, bahsi geçen bilginin kötü niyetli kişilerin eline geçmesi halinde dolandırıcılığa yol açabileceği,  bu çerçevede düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik olarak veri sorumlusuna başvuruda bulunmuş olmasına rağmen veri sorumlusu tarafından olumsuz yanıt verildiği ifade edilerek 6698 sayılı Kişisel Verileri Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • EPDK’nın Doğal Gaz Piyasası Dağıtım ve Müşteri Hizmetleri Yönetmeliğinin ilgili hükümlerine göre hizmet sunulan müşteriler ile “müşteri sözleşmesi” imzalandığı, müşterilerce gerçekleştirilen tüketimlerin taraflarınca faturalandırıldığı, müşterilerin ise ödemelerini veri sorumlusunun vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdikleri, müşterilerce banka kanalıyla gerçekleştirilen ödeme işlemlerinin de ilgili bankalara ait ATM, vezne ya da otomatik ödeme yöntemlerinden herhangi biri ile gerçekleştirildiği, 
  • Abonelerden, sözleşme tanzim edilmesi işlemleri esnasında “Otomatik Ödeme” ya da banka bilgisi talep edilmediği, talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, banka ile veri sorumlusu arasındaki sistem entegrasyonu kapsamında veri sorumlusuna aktarıldığı ve aktarılan bu bilgilerin Kanunun 4 üncü maddesi ile 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında veri sorumlusunun sistemlerinde yer aldığı, söz konusu verilerin sistemlerinde yer almasının, sözleşme kapsamındaki işlerinin ifası için zorunlu olduğu, aksi durumda bazı sorunların oluşacağı,
  • Bankaya verilen otomatik ödeme talimatı sonrasında ilgili bankanın veri sorumlusunun sisteminden talimat sahibi abonenin borç bilgisini anlık olarak çektiği ve faturanın son ödeme tarihinde abonenin hesabından tahsilatı yaparak, tahsilat bilgisini veri sorumlusunun sistemine aktardığı, bu işlemlerin yapılması için ilgili bankaların, veri sorumlusu şirketin veri tabanında kendi bankalarına ait koda ve veriye teknik olarak gereksinim duyduğu, dolayısıyla söz konusu verinin veri sorumlusunun sistemlerinde yer almaması halinde, ilgili bankaların sistemsel sıkıntılar yaşayacağı ve ödenemeyen borçlar sebebiyle müşterilerin gaz arzının durdurulması sonucunun doğacağı, bu durumun bir yandan abonelerin mağduriyet yaşamasına yol açacağı, diğer yandan da veri sorumlusu şirketin işinin ifasında sıkıntı oluşturarak meşru menfaatlerine zarar vereceği, 
  • Diğer taraftan, ilgili kişinin faturada “Otomatik Ödeme Talimatı” başlığı karşısında yer alan banka bilgisinin kaldırılması talebinin veri sorumlusu tarafından tüm müşterileri kapsayacak şekilde yerine getirildiği, faturalarını otomatik ödeme talimatı vermek suretiyle ödeyen tüm abonelerin faturalarında banka talimatı bölümünde banka adı yazma uygulamasının kaldırıldığı ve talimat varsa sadece “VAR” ifadesi yazılacak şekilde gerekli düzeltmelerin yapıldığı 

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/664 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işleneceği, amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işleneceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesine imkan tanındığı, buna göre; 
    a) Kanunlarda açıkça öngörülmesi,
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 
    hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
  • İlgili kişinin şikâyetine konu olan veri sorumlusu tarafından adına düzenlenen faturada yer verilen kişisel veri niteliğindeki banka adı bilgisinin, doğrudan ilgili kişiden elde edilmediği, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla banka tarafından veri sorumlusu şirkete aktarıldığı görüldüğünden; bu kapsamda söz konusu banka adı bilgisinin veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” şartı uyarınca veri sorumlusu tarafından işlenmesinin Kanuna uygun olduğu,
  • Öte yandan, ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle hâlihazırda herhangi bir hak ihlali yaşamadığı,
  • İlgili kişinin düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik veri sorumlusuna yaptığı başvuruya veri sorumlusu tarafından olumsuz yanıt verildiği iddiasına ilişkin olarak, Kuruma iletilen fatura örnekleri incelendiğinde veri sorumlusunca talep sonrası düzenlenen hiçbir faturada banka adı bilgisine yer verilmediği, banka talimatı bölümünde banka bilgisine yer verilmeyip sadece “VAR” ifadesinin kullanıldığının görüldüğü bu kapsamda ilgili kişinin talebinin yerine getirildiği kanaatine varıldığı 

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğinde olan banka adı bilgisinin, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” işleme şartına dayanılarak işlendiği; öte yandan ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle herhangi bir hak ihlali yaşadığının tespit edilemediği ve veri sorumlusunun ilgili kişinin talebini yerine getirdiği hususları dikkate alındığında bu aşamada şikayete konu iddialar ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

22.06.2021: “ilgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi”
Karar Tarihi : 22/06/2021
Karar No : 2021/603
Konu Özeti : İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin, veri sorumlusu tarafından hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikayet dilekçesinde özetle: internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak sipariş verdiği, vermiş olduğu siparişlerinin kendisine gönderiminin hangi kargo firması ile gerçekleşeceğinin sipariş formunda yer aldığı, bununla birlikte söz konusu siparişlerin gerek teslimat gerek fatura adresi olsun hiçbir suretle belirtmediği halde işyeri adresine gönderiminin yapıldığını tespit ettiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi hükmü kapsamındaki hakları ve 13 üncü maddesi uyarınca taşımacılık sektöründe faaliyet gösteren veri sorumlusuna dilekçe ile iadeli taahhütlü olarak başvuru yaptığı, söz konusu başvurusunda hukuka aykırı olarak elde edilmiş kişisel verilerinin yok edilmesi, kişisel verilerinin kullanım amacına uygun olarak kullanılması, üçüncü kişilere aktarılmış olan kişisel verilerine dair yapılan işlemlere ilişkin ilgili üçüncü kişilere bilgi verilmesi ve kişisel verisi olan iş yeri adresinin yasal mevzuata ve hukuka uygun olarak işlenmişse dahi işlenmesini gerektirir sebebin ortadan kalkmış olduğunu düşündüğünden söz konusu kişisel verilerinin yok edilmesi talebinde bulunduğu; fakat veri sorumlusu tarafından bu başvurusuna 30 günlük süre içinde cevap verilmediği belirtilerek, konunun incelenmesi, kişisel verilerinin halen silinmemiş olması nedeniyle veri sorumlusuna talimat verilmesi ve hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu kargo şirketinden savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • Taraflarının, ilgili kişi başvurularını Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygunluk konusunda ön değerlendirmeye tabi tuttuğu, ancak söz konusu olayda ilgili kişinin başvuruyu posta yoluyla gerçekleştirmiş olduğu ve başvuru evrakında T.C. kimlik numarasının yer almadığı, ilgili kişinin kimliğinin doğruluğunu teyit etmeden yapılan her türlü bilgi paylaşımının kişisel veri güvenliği açısından riskli olacağı, bu nedenle ilgili kişi tarafından gönderilen yazının hukuki olarak veri sorumlusuna başvuruda bulunması gereken hukuki nitelikleri taşımadığı, 
  • Şikayete konu kargo gönderimi esnasında birbirine rakip internet satış şirketlerinin indirim yapması sonrası oluşan kargo yoğunluğu sebebiyle, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirilmiş olduğunun görüldüğü; ancak ilgili kişinin teslimat sırasında bu adreste bulunmaması nedeniyle bu adreste herhangi bir teslimatın gerçekleştirilmediği,
  • Yazı ekinde yer alan sistem çıktılarında görüldüğü üzere ilgili kişinin iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslimi amacıyla (bir sözleşmenin ifası kapsamında veri işleme şartına dayalı olarak) taraflarına iletilen bilgiler neticesinde elde edildiği,
  • 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun “Muhafaza ve ibraz” başlıklı, 8 inci maddesinin “(1) Yükümlüler, bu Kanunla getirilen yükümlülüklere ve işlemlerine ilişkin her türlü ortamdaki: belgeleri düzenleme tarihinden, defter ve kayıtları son kayıt tarihinden, kimlik tespitine ilişkin belgeleri ise son işlem tarihinden itibaren sekiz yıl süreyle muhafaza ve istenmesi halinde yetkililere ibraz etmekle yükümlüdür.” şeklinde düzenlendiği, ayrıca Bilgi Teknolojileri ve İletişim Kurulunun 27/12/2016 tarih ve 2016/DK-YED/517 sayılı kararı ile düzenlenen Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinin “Hizmet sağlayıcılar tarafından, haberleşme gönderileri hariç, posta gönderilerinin kabulü aşamasında: asgari olarak;(…) alıcının adı-soyadı ve açık adres bilgisi (…) kayıt altına alınır, gerektiğinde ilgili mercilere sunulmak üzere gizliliği sağlanarak en az iki yıl süreyle saklanır.” şeklinde olduğu ve bu nedenle gönderim esnasında taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlarından yasal zorunluluk gereği silinemediği,
  • İlgili kişiye ait kişisel verilerinin bulunduğu veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün yazı ekinde sunulduğu, bu bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, pasif durumda olan cari bilgilerin yalnızca merkez birimi tarafından değiştirilebildiği, bu hususun tekrar yaşanmaması adına sistemlerinde mevcut cari kayıtlar güncellenerek ilgili kişinin yeni siparişlerinde vermiş olduğu güncel bilgiler doğrultusunda yeniden cari açılımı yapılarak kargo gönderimi gerçekleştirileceği

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;  “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kişisel verilerin işlenme şartlarının ise Kanunun 5 inci maddesinde “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 
    (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
    a) Kanunlarda açıkça öngörülmesi. 
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” şeklinde hüküm altına alındığı,
  • Bu çerçevede, ilgili kişinin kişisel verilerinin hukuka aykırı işlendiğine ilişkin iddiaları ile ilgili olarak somut olayda veri sorumlusu tarafından gönderinin kabulü aşamasında ilgili kişinin adresinin kaydedilmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanılarak yapıldığının açık olduğu, buna karşın veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği dolayısıyla veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğüne aykırı hareket ettiği, 
  • İlgili kişinin verilerinin silinmesine yönelik talebi ile ilgili olarak, veri sorumlusu tarafından, gönderim esnasında taşıma işini gerçekleştirmek üzere beyan edilmiş olan adresi, adı, soyadı ve irtibat telefon numarasının mevcut kayıtlarından yasal zorunluluk gereği silinemediği, kişisel verilerin korunması ve güvenliğinin azami ölçüde sağlandığı ve işlenen kişisel verilerin taraflar arası hukuki ilişkinin niteliği gözetilerek ve ilgili kanunlarda öngörülen yasal zorunluluk ve zaman aşımı süreleri ve diğer hukuki yükümlülükler dikkate alınarak gereken süre boyunca saklandığı ve akabinde silme, yok etme veya anonim hale getirme yöntemleri gözetilerek imha edildiği, bu çerçevede ilgili kişinin kişisel verilerinin bulunduğu (isim soy isim, adres, iletişim no vb.) veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün savunma yazısı ekinde gönderildiği ve pasif hale getirilen cari bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, 
  • Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinde gönderinin kabulü ve teslimi aşamasında en az 2 yıl süreyle saklanacak verilerin açıkça düzenlendiği, ilgili kişinin iş yeri adresine uygun olan son kargo hareketinin 26.02.2019 tarihli olduğu ve sehven yanlış adrese yapılan gönderimin ise 02.11.2019 tarihli olduğunun belirtildiği, bu çerçevede, Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin silinmesini gerektiren sebebin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği,
  • İlgili kişinin veri sorumlusuna yapmış olduğu başvurusuna veri sorumlusu tarafından 30 günlük süre içinde cevap ve bilgi verilmemesi iddiasına ilişkin olarak, her ne kadar Tebliğin 5 inci maddesinin (2) numaralı fıkrasında T.C. kimlik numarasının bulunmasının zorunlu olduğu düzenlenmiş olsa da veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik ilgili kişiyi yönlendirici gerekli aksiyonun veri sorumlusu tarafından alınmadığı, bu kapsamda başvurusunun bu şekilde cevapsız bırakılmasının Tebliğin 6 ncı maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı (b) bendi hükmü uyarınca idari para cezası uygulanmasına,
  • İlgili kişinin kişisel verisi olan iş yeri adresinin silinmesi/yok edilmesi talebine ilişkin olarak veri sorumlusu bünyesinde Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği dikkate alındığında Kanun kapsamında bu çerçevede yapılacak bir işlem olmadığına,
  • Veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik gerekli aksiyonun veri sorumlusu tarafından alınmadığı ve başvurusunun cevapsız bırakıldığı, dolayısıyla Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında belirtildiği üzere, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı değerlendirildiğinden veri sorumlusunun ilgili kişinin başvurusundaki eksik hususların tamamlanmasına yönelik gerekli aksiyonları alması ve Tebliğ hükümlerine azami özeni göstermesi hususunda talimatlandırılmasına

karar verilmiştir.

04.06.2021: “İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması”
Karar Tarihi : 04/06/2021
Karar No : 2021/548
Konu Özeti : Bir dijital platform bayisi tarafından kişisel verilerin hukuka aykırı olarak işlenmesi

 

İlgili kişiden alınan şikâyet dilekçesinde özetle;

  • Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
  • Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
  • Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı 

hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme neticesinde, reklamı yapılan dijital platformdan bilgi ve belge talep edilmiş olup Kuruma ulaştırılan cevabî yazıda;

  • İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit edilemediği,
  • Şikâyet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı, yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye tahsis edildiği,
  • İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,
  • Şayet bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dâhilinde yapılmadığı

beyanlarına yer verildiği görülmüştür.

Bunun üzerine bahse konu dijital platformdan, ilgili kişiyi aradığı iddia olunan bayii ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında  ise;

  • Bayilik hizmeti kapsamında “…Expert” olarak görev yürüten bayiye ürün ve hizmetlerin pazarlanması, tanıtılması, satışı, söz konusu ürün ve hizmetlerle ilgili abonelik tesisi, abonelik uzatma, abonelik iptali, üst paketlere geçiş, satış sonrası hizmetler, tahsilat ve gerektiğinde kurulum ve montaj destek hizmetleri verilmesi ile sınırlı olmamak kaydıyla dijital platform tarafından bildirilecek diğer iş ve işlemler konusunda görev ve yetki tevdi edildiği,
  • Bayii ile akdedilen abonelik sözleşmesi ve bu bayiliğin iptaline ilişkin e-posta çıktısının yazılarına eklendiği,
  • Bayii tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek potansiyel müşteri oluşturabildiği,
  • İlgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı

ifade edilmiştir.

Yukarıda yer verilen bilgi ve belgelerin değerlendirmesi neticesinde alınan 04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; ve “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunda veri işleyenin; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının olması; bir başka diğer deyişle, veri sorumlusunun birimleri içerisinde bulunmaması gerekmekle birlikte veri işleyenin, veri sorumlusundan ayrı bir hukuk kişisi olarak veri sorumlusunun talimatı, denetimi ve yetkilendirmesi dâhilinde kişisel veri işleme faaliyeti yürüteceği,
  • Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
  • Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

09.06.2021: “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/06/2021
Karar No : 2021/584
Konu Özeti : Sigortacılık ve Bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi

 

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle,

  • Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,
  • Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren veri sorumlusunun, poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda müşterilerine hizmet verdiği, ilgili kişinin cep telefonuna gönderilen SMS’in de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasında yer alan kişisel verilerin işlenmesine ilişkin ilkeler arasında yer aldığı üzere, şirketlerinin hukuka uygun bir şekilde “belirli, açık ve meşru amaçlar“ çerçevesinde kişisel veri işlediği ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı,
  • Kanunun "Kişisel Verilerin İşlenme Şartları" başlıklı 5 inci maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği (2) numaralı fıkrasının (d) bendinde ise "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şeklinde kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin düzenleme bulunduğu,
  • Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendine ilişkin TBMM Kanun gerekçesinde "fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir." ifadelerinin yer aldığı, TBMM gerekçesinde söz konusu fıkra amacından bahsedilirken, temel ölçüt olarak sayısı belirsiz kişi tarafından görülebilecek durumda olma unsurunun kabul edildiği ve "herhangi bir şekilde" ibaresi kullanılarak alenileşmenin meydana gelmesi için başka bir şart aranmadığının ifade edildiği, ayrıca gerekçede alenileştirilen verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, zira artık ilgili kişinin kendisinin dahi verinin korunması için bir çaba sarf etmediği,
  • Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
  • Öte yandan, Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği, veri sorumlusunun sigortacılık ve bireysel emeklilik alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında veri sorumlusunun var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de veri sorumlusu için meşru bir menfaat olduğu, dolayısıyla şirketlerinin var olması için poliçe satışı yapmak zorunda olduğu, poliçe satışı yapmak için de teklif araması yapılması gerektiği ve teklif araması sırasında mesaj gönderilen kişinin ad, soyadı ve telefon numarası bilgilerinin önceden şirket uhdesinde bulunması zorunluluğunun da izahtan vareste olduğu, bu nedenle Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin de bu gibi durumlarda ilgili kişinin açık rızasının aranmasına gerek olmadığını belirttiği ve ticari hayatın olağan akışı içinde seyrine imkan tanıdığı, şirketlerinin meşru menfaatleri ve Kanunun meşru menfaat hükmü birlikte değerlendirildiğinde taraflarınca hukuka aykırı bir işlem yapılmadığı,
  • İlgili kişi tarafından veri sorumlusuna yapılan başvuruya, verilerinin veri sorumlususun faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan "Aranmayacaklar Listesi"ne alındığının, bunun ötesinde verilerinin hiçbir şekilde işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin “İspat yükümlülüğü ve kayıtları saklama süresi” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince; hizmet sağlayıcıların onay kayıtlarının, onay geçerliliğinin sona erdiği tarihten; ticari elektronik iletilere ilişkin diğer kayıtların ise kayıt tarihinden itibaren üç yıl süreyle saklanması gerektiği, ayrıca talep edildiğinde ilgili kayıtların Bakanlığa sunulacağının düzenlendiği, buna ek olarak hizmet sağlayıcılara bildirilen "ret" bildirimlerinin de İleti Yönetim Sistemine 3 iş günü içinde bildirilmesi gerektiği, zira bu hakkın kullanılmasının 6698 sayılı Kanun kapsamında açık rızanın geri alınması ile eşdeğer olduğu, bahsi geçen “Aranmayacaklar Listesi” ile kendisine ticari elektronik ileti gönderimine onay vermeyen kişilerin yer aldığı listenin iç içe bir bütün olduğu ve veri sorumlusu tarafından bu listenin mevzuattan kaynaklanan yükümlülükler çerçevesinde saklandığı, mevzuat uyarınca saklama süreleri bittiğinde bu verilerin de Şirketleri tarafından imha edileceği, ayrıca veri sorumlusu tarafından alınan teknik ve idari tedbirler çerçevesinde ilgili listenin sadece yaptığı iş gereği erişimi zorunlu olan kişilere açılarak yetki verildiği,
  • İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği,
  • Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin ikinci fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan Kanunun ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7 inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı,
  • Ayrıca, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
  • Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu kapsamda ilgili kişinin kişisel verisi niteliğindeki telefon numarasına gönderilen kısa mesajlar incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı, içeriklerin reklam, pazarlama ve bilgilendirme amaçlı olduğu değerlendirilmekte olup bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan "İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
  • Veri sorumlusunun, faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında şirketin var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de şirketleri için meşru bir menfaat olması sebebiyle bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, ilgili kişilerin bu şekilde ilgilendikleri veya ilgilenmedikleri alanlarda reklam ve pazarlama amacıyla aranma ve kısa mesaj almaya maruz bırakılmasının temel hak ve hürriyetlerinin zarar görmesine yol açacağı, sonuç olarak salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, reklam ve pazarlama amacıyla gerçekleştirilen aramalardan kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın/onayın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, kişisel verileri hukuka aykırı olarak elde edilmiş olan ilgili kişilerin kişisel verilerinin burada işlenmeye devam etmesi hususunun Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirilmesinin hukuka aykırılık barındırdığı, bu çerçevede Kanunun 11 inci maddesinin (e) bendi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,
  • İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği, bu doğrultuda ilgili kişiye SMS’lerin iletildiği tarihte ticari elektronik ileti gönderilmesinde onay alınmasına ilişkin mevzuattan kaynaklanan zorunluluk bulunmadığı iddia edilse de ilgili kişilerden onay alınmak suretiyle kişisel verisi niteliğinde olan cep telefonu numarasının işlenmesini mümkün kılan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu, onaya ilişkin hususlarla ilgili olarak herhangi bir ertelemenin söz konusu olmadığı, veri sorumlusu tarafından ilgili kişinin onayına istinaden ticari elektronik ileti gönderiminde bulunulduğu hususunu kanıtlayıcı herhangi bir bilgi ve belgenin mevcut olmadığı,
  • Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya Cevap” başlıklı 6 ncı maddesinin (4) numaralı fıkrasında ise cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu, veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunluluğunun düzenlenmiş olduğu, ilgili kişinin başvurusuna veri sorumlusu tarafından 23.06.2020 tarihinde e-posta adresi aracılığıyla verilen cevapta Tebliğde yer alan T.C. kimlik numarası, adres gibi unsurların yer almadığı görülmekle birlikte veri sorumlusunda bu bilgilerin bulunmadığı dikkate alındığında bu hususta herhangi bir hukuka aykırılık olmadığı, öte yandan Tebliğde yer alan “başvuruya ilişkin açıklamalar” unsurundan ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına

karar verilmiştir.

18.03.2021: “İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması”
Karar Tarihi : 18/03/2021
Karar No : 2021/242
Konu Özeti : İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyetinde özetle; ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Kanunun yürürlüğe girmesinden önce veri sorumlusunun sistemlerinde güvenlik ve önlem amaçlı log kayıtlarının tutulduğu, şirketleri ile rezervasyonun; çağrı merkezi, acente ya da internet sitesi üzerinden yapılabildiği, tüm bu kanallardan yapılan satış ve rezervasyonların tek bir satış altyapısında saklandığı, satış sürecinde oluşan kişi kartının, kişi ile iletişim kurulacak telefon numarası ve e-posta gibi iletişim bilgilerinin her seferinde tekrardan kişiden alındığı, böylelikle kişinin bir önceki seyahatinden farklı iletişim bilgileri ile (cep telefonu, e-posta vs.) yeni seyahatini planlayabildiği,
  • İnternet sitesinden gerçekleştirilen bir seyahat alım sürecinde kredi kartı bilgileri kaydedilmeden banka sistemleri üzerinden işlem yapıldığı ve onay sürecinde bankanın paylaştığı son 4 hane ile ilk 6 haneyi içeren bilgiler ile kişi adı gibi detayların ödeme kısmında saklandığı,
  • Çağrı merkezi ve acente sistemlerinin aynı altyapıda olduğu, çağrı merkezlerinin büyük ve online bir acente gibi işlem yaptığı; çağrı merkezinden yapılan alımlarda kişi kartlarındaki iletişim bilgilerinin Kanuna uygun olarak alınan teknik ve idari tedbirler kapsamında tamamen boş geldiği ve satış personelinin/müşteri temsilcisinin gereken bilgileri seyahat özelinde misafirden talep ederek ve talebe uygun olarak doldurduğu,
  • Bu suretle, her bir rezervasyonda rezervasyon bilgilerinin iletileceği e-posta adresi ve telefon bilgilerinin güncellenmekte olduğu,  misafir rezervasyonunun önceki kayıtlarda yer alan e-posta adresine veya telefon numarasına gönderilmesinin de önüne geçildiği; sistemde gerçekleştirilen bu kayıtlarda işlemi yapan temsilcinin giriş yaptığı/login olduğu kendisine ait hesap ile sisteme kaydedildiği/log kaydı alındığı, böylelikle ileride de temsilcinin oluşturduğu ya da sonradan görüntülediği şeklindeki bilgilere erişilebildiği,
  • Yukarıda sayılan her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı, misafir ile paylaşım acente üzerinden yapılan satışlarda misafire elden imza karşılığı teslim edilerek yapılmakta iken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderilmek suretiyle yapıldığı,
  • Log mekanizmasında yazılımların içindeki erişim, değişiklik ve görüntülemelerin tarih, saat ve kişi bazlı olarak kayıt yapıldığı, yaşanabilecek siber saldırılardan korunmak için güvenlik duvarı sistemlerinin bulunduğu, güvenli paylaşımı sağlamak amacıyla güvenli bir dosya paylaşımı uygulamasının kullanıldığı, bu suretle veri sorumlusu tarafından yapılan paylaşımların kişi bazlı olarak gözlemlenebildiği, verilerin veri sorumlusu şirket içerisinde kullanılan cihazlardan USB, e-posta gibi yöntemlerle dışarı çıkarılmasının gerektiğinde engellenmesi ve yine log kaydı alınması için bir “Veri Kayıp Önleme” (DLP) ürününün satın alınıp kurumsal ekiplerinde konumlandırıldığı,
  • Şikâyet konusu rezervasyonun Çağrı Merkezi üzerinden yapıldığı, rezervasyona ilişkin ilk e-posta gönderiminin 20.11.2018 tarihinde ilgili kişinin e-posta adresine rezervasyonun onaylanması için gönderildiği, bu işlemin onaylanmaması sebebiyle 21.11.2018 tarihinde tekrar e-posta gönderildiği, daha sonra konaklama tarihinin yaklaşması sebebiyle aynı adrese 05.12.2018 tarihinde rezervasyon hatırlatma e-postası gönderildiği

hususları belirtilerek veri sorumlusu tarafından ilgili kişi ile kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı, 
  •  “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel veriler ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,    
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkan tanıdığı, buna göre;

a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmünün yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını(USER_NAME) içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • İlgili kişiye gönderilen e-postaların iletim tarihi ve adresine ilişkin olarak log kayıtlarına bakıldığında, veri sorumlusu tarafından ilgili kişinin e-posta adresine 20.11.2018, 21.11.2018 ve 05.12.2018 tarihlerinde şikâyete konu rezervasyon için elektronik posta gönderildiği, bu mesajların içeriğine ilişkin log kayıtlarına bakıldığında; 20.11.2018 ve 21.11.2018 tarihinde gönderilen e-postaların onay için olduğu, 05.12.2018 tarihinde gönderilen e-postada ise rezervasyona ilişkin bilgilendirme yapıldığı,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı

değerlendirmelerinden hareketle;

  • Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
18.03.2021: “Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi”
Karar Tarihi : 18/03/2021
Karar No : 2021/241
Konu Özeti : Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme kapsamında veri sorumlusu sigorta şirketinden savunması istenilmiş, alınan cevabi yazıda özetle;

  • Şikâyetçinin eşinin sigorta ettireninin bir banka olduğu ve Grup Hayat Sigorta Poliçesi ile sigortalı olduğu,
  • Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan Grup Sigortası Sözleşmesi kapsamında sigorta ettiren tarafından bildirilen SGK'lı çalışanların sigortalandığı,  şikâyetçinin eşinin de bu çalışanlardan biri olarak Grup Hayat Sigorta Poliçesi ile sigortalandığı, bu kapsamda murislere toplamda 100.000,00 TL (poliçe teminatının tamamı) ödeme yapıldığı, Poliçe teminatının tamamının murislere ödenmesiyle veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği,
  • Şikâyet konusu Poliçenin müteveffanın eşi varise verilmemesinin hukuki gerekçesi ile ilgili olarak Poliçenin, sigorta ettiren banka ile veri sorumlusu arasında imzalanan Grup Hayat Sigortası arasındaki Sözleşmeye istinaden düzenlenmiş olduğu, sigortalıların bu grup sözleşmesinin tarafı olmadığı, 6102 sayılı Türk Ticaret Kanununun (TTK) 1496 ncı maddesi uyarınca Grup Hayat Sigortası Sözleşmesine/Poliçesine istinaden sigortalılara ayrı ayrı Poliçeler yerine sertifikalar verildiği,
  • Müteveffanın sigortalılığını, sigortalı olduğu dönemi ve sigorta teminatı ile kapsamı gösteren Grup Yıllık Yaşam Sigortası Sertifikasının da veri sorumlusu tarafından şikâyetçi ile paylaşıldığı,
  • Diğer taraftan Grup Hayat Sigortası Sözleşmesinde sigorta ettiren bankaya ait ticari bilgilerin ve o sözleşmeyi imzalayanların kişisel verilerinin yer aldığı, dolayısıyla müteveffanın tarafı olmadığı Grup Hayat Sigortası sözleşmesinin ve buna istinaden düzenlenen Grup Poliçesinin de ne sigortalılarla ne de murisleri ile paylaşma yükümlülüklerinin bulunmadığı,
  • Veri sorumlusunun tüm kanuni yükümlülüklerini yerine getirdiği ancak şikâyetçinin Poliçe kapsamındaki alacağın tam olarak ödenmediğine ilişkin bir kuşkusu varsa, bu Grup Sigortası Sözleşmesinin içeriğini sigorta ettiren ve müteveffanın işvereni olan bankadan talep edebileceği gibi şikâyet dilekçesinde bahsettiği dava dosyasının görülmesi sırasında mahkeme aracılığı ile de pekâlâ celp ettirebileceği, şikâyetçinin daha fazla alacağı olduğunu düşünüyorsa veri sorumlusu aleyhine yargı yoluna da başvurabileceği,
  • Kanunun 11 inci maddesi gereği ilgili kişinin kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahip olduğu ancak şikâyetçinin, eşine ilişkin talep etmiş olduğu Poliçe bilgileri, sertifika, teminat ödemesi vb. hususları eksiksiz paylaşılmış olmasına ve ortada kendisine ait Kanuna aykırı işlenen veri bulunmazken, sigortacılık mevzuatı açısından da tüm yükümlülüklerini yerine getiren veri sorumlusuna yönelik yapılan şikâyetin haksız olduğu  

ifade edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarih ve 2021/241 sayılı Kararı ile;

  • 6698 sayılı Kanunun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, diğer taraftan; Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
  • Diğer taraftan 4721 sayılı Türk Medeni Kanununun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
  • Kanunun 11 inci maddesinde de “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği,
  • Öte yandan, 6102 sayılı Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
11.03.2021: “İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması”
Karar Tarihi : 11/03/2021
Karar No : 2021/230
Konu Özeti : İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
 
İlgili kişinin şikâyeti hakkında Kurumca başlatılan inceleme çerçevesinde veri sorumlusu kamu kurumunun açıklamalarına başvurulmuş olup, alınan cevabi yazıda özetle; 

  • Konu ile ilgili olarak ….  İl Müdürlüğünden bilgi ve belge talep edildiği,
  • Tabi olunan mevzuat kapsamında, Kurumları ile Sosyal Güvenlik Kurumunun (SGK) görev-yetki alanına giren iş ve işlemlerin ilintili olması nedeniyle tüm personel tarafından ilgili Kurum Portalına erişim sağlanabildiği ve “kontrol arayüzü” üzerinden sınırlı şekilde iş ve işlemler gerçekleştirebildiği,
  • Bu sınırlı erişim içerisinde kişilerin kimlik numaraları ile çeşitli sorgulamalar yapılabildiğinden, adı geçen personel de dahil olmak üzere tüm personel tarafından hem rutin işler için hem de günlük rutin dışı talepler nedeniyle söz konusu sorgulamanın sürekli yapıldığı,
  • Öte yandan anılan İl Müdürlüğünce, Kanun ile ilgili Kurumun tüm personelinin defaten bilgilendirildiği ve talimatlandırıldığının bildirildiği,
  • Şikayete konu veri işleme faaliyetini gerçekleştiren personelin konuya ilişkin açıklamalarının alındığı, yapılan açıklamada söz konusu kişi tarafından rutin işinin bir parçası olarak bahsi geçen sorgulamaları sıkça yaptığı, eşinin memur maaş zammına ilişkin kendisini haberdar etmesi üzerine ve kendisinin bilgisi dâhilinde bahsi geçen bilgileri sorguladığı, söz konusu zaman diliminde evliliğin aynı çatı altında sürdüğü, Kanunen aynı konutta yaşayanların istisna kapsamında olduğu ve bahsi geçen bilgilerin eşin bilgisi dahilinde sorgulanmasının sakınca teşkil etmediğini düşündüğü, boşanma davasında eşinin iddiasının aksine maaş bilgisinin paylaşılmadığı, bu bilgileri eşi dışında hiç kimse ile paylaşmadığı ve bu hususta mahkemeden bilgi talep edilebileceği ayrıca söz konusu Portaldan sehven kişisel sorgulama yapması hasebiyle Hizmet Merkezlerince “yazılı olarak” uyarıldığının belirtildiği 

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
  • Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

09.06.2021: “İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması”
Karar Tarihi : 09/06/2021
Karar No : 2021/572
Konu Özeti : İlgili kişi fotoğrafının öğrencisi olduğu okul tarafından kullanılması

 

Kuruma intikal eden şikayette, ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu okul hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • 2018-2019 döneminde öğrencileri olan ilgili kişinin fotoğrafının özel olarak çekilen bir fotoğraf olmadığı, tüm öğrencilerin katılmış olduğu ders ve etkinlikler sırasında çekilen bir fotoğraf olduğu, anılan dönemin sonunda öğrencinin okul değişikliği gerçekleştirdiği, mevcut durumda öğrencileri olmadığı,
  • İlgili kişinin velisinden de izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da olmadığı,
  • İlgili kişinin avukatı tarafından gönderilen ihtarnameye istinaden velinin “Sosyal Medya Paylaşımı” konulu yazılı izninin bir örneğinin bulunduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/06/2021 tarih ve 2021/572 sayılı kararı ile;

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, bu kapsamda, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği,
  • Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,
  • 6698 sayılı Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
  • Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
  • Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından Bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

  • Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

11.03.2021: “Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi”
Karar Tarihi : 11/03/2021
Karar No : 2021/228
Konu Özeti : Hukuk Bürosu tarafından kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi

 

Kuruma intikal eden şikayette özetle ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusunun tespit edilebilmesini teminen alacaklı telekomünikasyon şirketi ve hukuk bürosundan savunması istenilmiştir. 

Şikayet edilen telekomünikasyon şirketinden alınan cevabi yazıda özetle; 

  • İlgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığı ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgisi ile borç bilgisi olduğu,
  • Avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolayısıyla şirket ile avukat arasında akdedilen vekâlet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olup 6698 sayılı Kanun ve ikincil düzenlemeleri kapsamında gerçekleştireceği veri işleme faaliyetleri kapsamında şirketleri ile aynı yükümlülüklere sahip olduğu,
  • İlgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunun 10 uncu maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ilgili kişinin hakları” başlıklı 11 inci maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine/ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği 

ifade edilmiştir.

Şikâyet ile ilgili olarak Kurumca istenilen savunmasına istinaden alacaklı telekomünikasyon şirketi adına hareket ettiği belirtilen avukat tarafından Kuruma intikal ettirilen cevap yazısında ise özetle;

  • İlgili kişi tarafından usulüne uygun olarak yapılan ve taraflarına tebliğ edilmiş bir başvurunun bulunmadığı, Tebligat Kanununun 32 nci maddesinde yer aldığı üzere tebliğ usule aykırı olmuş olsa dahi muhatabın tebliği öğrenmesi halinde tebliğin geçerli olacağı ancak taraflarına usulüne uygun bir tebligat yapılmadığından Kuruma şikayette bulunulmayacağı ve şikayetin incelenmesinin hukuken mümkün olmadığı,
  • Borcun alacaklısı şirket ile aralarında vekâlet ilişkisi bulunduğu, bu itibarla alacaklı şirketin avukatlığı görevinin taraflarınca yürütüldüğü, aralarındaki vekâlet ilişkisi sebebiyle alacakların tahsil edilebilmesi için taraflarınca icra takipleri başlatıldığı ve avukat-müvekkil ilişkisi çerçevesinde tüm hukuki işlemlerin yürütüldüğü,  avukatlık mesleği gereğince Avukatlık Kanunu ve ilgili diğer tüm mevzuat çerçevesinde avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu,
  • Şikayete konu icra dosyası ve borcun tahsili açısından dosya borçlusu şirket hakkında yapılan araştırma neticesinde Ticaret Sicil Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan bir kuruluşun sunduğu hizmetten yararlanarak ilgili kişinin telefon numaralarına ulaşıldığı ve borçlu şirket yetkililerine borcun bildirildiği, kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında hiçbir zaman bulunulmadığı yalnızca şirket borcundan dolayı şirket yetkililerine borç bildirildiği, söz konusu telefon numaralarının Avukatlık Kanununun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiği, bununla birlikte, müvekkilin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği 

hususları belirtilmiştir. 

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, 
  • Kanunun 12 nci maddesinde “(1) Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır…” hükümlerine yer verildiği,
  • Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
  • Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
  • Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
  • İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
  • İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
  • İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirmelerinden hareketle, 

  • Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 
  • Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

04.06.2021: “Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi”
Karar Tarihi : 04/06/2021
Karar No : 2021/545
Konu Özeti : Veri sorumlusu firma tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi

Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağı,
  • Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı, 
  • Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı,
  • Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmüne yer verildiği,

  • Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
  • Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

11.03.2021: “Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi”
Karar Tarihi : 11/03/2021
Karar No : 2021/227
Konu Özeti : Bir eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının ilgili kişinin açık rızasına ve herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yasal süre içerisinde yanıt alamadığı, ihlalin yaygın olduğu ve benzer mesajların herkese gönderildiğinin düşünüldüğü ifade edilerek eğitim kurumu hakkında gerekli işlemlerin tesis edilmesi istenilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • Veri sorumlusunun SMS gönderme uygulamasının olmadığı ve ilgili kişiye mesaj gönderilmediği,
  • Veri sorumlusu tarafından işletilen bir eğitim kurumu bulunmadığı, çeşitli kurumlar ile isim hakkı sözleşmesi düzenlendiği, bu anlamda isim hakkı sözleşmesi düzenlenen ve eğitim alanında hizmet sunan bir şirketin şikâyete konu SMS gönderim eylemini gerçekleştirdiği, söz konusu şirketin SMS gönderimini yasal olarak gerçekleştirdiklerini beyan ettikleri ve şikâyete ilişkin bilgi ve belgelerin bu firmadan talep edilmesi gerektiği ifade edilmiştir.

Bu kapsamda, ilgili kişinin şikâyeti hakkında bahsi geçen şirkete bilgi verilmiş, başvuruda belirtilen iddialara ilişkin savunması istenilmiş olup, alınan cevabi yazıda;

  • Anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı; ancak bu bilgilerin alınabilmesi için anket dolduran kişilerin SMS ya da başka iletişim araçlarına onay vermiş olmasının şart olduğu,
  • Şikâyete konu olaydaki telefon numarasının da bir medya anket şirketinden alındığı bununla birlikte sosyal medya ve toplu SMS anket formunu dolduran kişi tarafından, anketin doldurulması esnasında iletişim bilgisi olarak sehven şikâyetçinin iletişim bilgisinin verildiği, kendilerinin bunu denetleme imkanının olmadığı,
  • Anket içeriğinde SMS gönderimine izin verildiği, şirketlerinin onay vermeyen kimseye SMS göndermediği; dolayısıyla şirketlerinin ihlal iddiasına ilişkin bir kusurunun bulunmadığı 

ifade edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/227 sayılı Kararı ile, 

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlandığı, açık rızanın, Kanunda hukuka uygunluk sebeplerinden biri olduğu, Kurumca yayımlanan “Açık Rıza” Rehberine göre; açık rıza açıklamasının, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlaması, bu kapsamda açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, açık rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu, kişisel veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği,  açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağının açıkça belirtilmesinin önemli olduğu,
  • Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
  • Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı kapsamında; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,
  • Ticari elektronik iletilere ilişkin alınacak onayların şekline ilişkin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
  • Şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

27.04.2021: “Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası”
Karar Tarihi : 27/04/2021
Karar No : 2021/424
Konu Özeti : Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlatması

 

Kurumumuza intikal eden şikâyet dilekçesinde;

  • İlgili kişiye yönelik olarak yetkili icra dairesi tarafından icra takibi başlatıldığı, ilgili kişinin bu durumu 2017 yılı Şubat ayında ev kredisi çekmek isterken öğrendiği, 2010 yılında ilgili kişinin evine gelen bir saha müfettişinin, ilgili Bankaya borçlu olduğunu ve bunu ödemesi gerektiğini söylediği,
  • İlgili kişinin bu şahsa, kendisinin Bankaya hiçbir şekilde gitmediğini ve bahse konu Bankada bir hesabının da bulunmadığını söylediği, adresini ne şekilde öğrendiğini sorduğunda “biz buluruz” cevabını aldığı,
  • İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü,
  • Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
  • İlgili kişinin konu hakkında BİMER’e bulunduğu şikâyet üzerine açılan soruşturma dosyasına Banka şubesinin verdiği cevapta ilgili kişinin 21.02.2017 tarihinde şubeye başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği ve kredi kayıt bürosu (KKB) kayıtlarının düzeltildiği, takip hesabının devir yapıldığı Varlık Yönetimi Şirketine ayrıca bilgilendirmenin yapıldığının belirtildiği,
  • Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu,
  • Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği

hususları ifade edilerek anılan taraflar hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde Bankanın, Varlık Yönetim Şirketinin ve avukatların savunması istenilmiş olup, Bankadan alınan cevabi yazıda özetle;

  • İlgili kişi ile Banka arasındaki müşteri ilişkisinin 23.06.2003 tarihinde kurulduğu ve kredinin 28.11.2007 tarihinde bankanın kanuni takip hesaplarına intikal ettiği, ödeme yapılmaması üzerine 09.02.2008 tarihinde yetkili İcra Müdürlüğünün dosyası ile kredili müşteri aleyhine icra takibi başlatıldığı, takip süreci içerisinde herhangi bir tahsilat sağlanamadığından kredi riskinin 05.01.2010 tarihinde Varlık Yönetim Şirketine temlik edildiği,
  • 21.02.2017 tarihinde Bankanın ilgili şubesine şikayetçi tarafından başvuru yapılarak borçlu olarak görünen kişi ile isim benzerliği olduğunu ve hatanın düzeltilmesini talep ettiği, bunun üzerine yapılan kontrollerde, ilgili kişiye ait T.C. kimlik numarasının, borçlu adına tanımlı olduğunun ve ilgili kişi ile borçlunun Banka sistemlerinde sadece T.C. kimlik numarasının aynı olup diğer tüm verilerinin ise farklı olduğunun tespit edildiği, böylelikle takip borçlusu için 23.06.2003 tarihinde müşteri kaydı oluşturulduğu sırada T.C. kimlik numarası olarak sehven ilgili kişiye ait T.C. kimlik numarasının kaydedildiğinin anlaşıldığı,
  • Veri sorumlusu Bankaya şikâyetin ulaştığı 21.02.2017 tarihinde derhal ilgili kişinin T.C. kimlik numarasının, borçlunun müşteri bilgileri altından silinmesinin sağlandığı, ayrıca Kredi Referans Sistemi (KRS) ekranlarında yapılan kontrollerde 5 yıl geçtiği için kayıtların da silindiğinin görüldüğü, Bankaca yapılan tespit üzerine, dosyanın temlik edildiği yeni alacaklı Varlık Yönetim Şirketine bilgilendirme yapılarak borçlunun telefon numarası verisinin güncel ve doğru olmasına ilişkin sorumluluğunu yerine getirildiği,
  • Yapılan incelemede ilgili kişinin 30.10.2019 tarihinde Bankaya ilettiği başvurusuna 12.11.2019 tarihinde yanıt verildiği ancak bu cevabın sehven farklı uzantılı bir e-posta adresi üzerinden iletilmeye çalışıldığı fakat KEP uzantılı e-posta hesaplarına ancak KEP uzantılı e-postalar aracılığı ile gönderim yapılabildiğinden bahse konu cevabın ilgili kişiye ulaşmadığı

hususları ifade edilmiştir.

Veri sorumlusu Varlık Yönetim Şirketinden alınan cevabi yazıda özetle;

  • Sözleşme kapsamında şirketin yeni alacaklısı konumunda olduğu kredi borcu bakımından alacağın takibine ve tahsiline yönelik hukuki işlemlerin temlik sözleşmesinin imzalanmasından önceki dönemde Banka tarafından başlatılmış olduğu ve borçlu taraf olarak ilgili kişi ile arasında isim benzerliği bulunan üçüncü kişinin gösterilmesi gerekirken ilgili kişinin borçlu taraf olarak gösterildiği,
  • İcra Müdürlüğü dosyasında mevcut bulunduğu belirtilen müzekkerede borçluya ait kimlik bilgilerinin yer almasına karşın, borçlunun adresinin tespiti için 2009 yılında SSK Tahsisler Daire Başkanlığına yazılan yazıda, veri sorumlusu Banka tarafından ilgili kişiye ait olan T.C. kimlik numarasına yer verildiği, bu işlemlerin hepsinin Banka ile Şirketleri arasında akdedilen sözleşmenin imzasından önce gerçekleştirildiği,
  • İlgili kişinin Haziran 2019 tarihine kadar Şirketlerine herhangi bir başvuruda bulunmadığı, bu tarihte iletilen şikâyet üzerine ivedilikle veri sorumlusu Banka ile iletişime geçerek bilgi talebinde bulunduğu, bunu müteakip veri sorumlusu Bankadan yapılan, ilgili kişinin T.C. kimlik numarasının sehven borçluya ait MBB numarasının üzerine kaydedildiği bilgilendirmesi üzerine veri sorumlusu şirket tarafından ilgili kişiye, dosyadan taraf kaydının ve T.C. kimlik numarasının silindiğine dair bilgilendirmede bulunulduğu, Banka tarafından iletilen bilgiler doğrultusunda ilgili kişinin kişisel verilerinin tahsilat sisteminden silindiği ve 29.07.2019 tarihinde TBB Risk Merkezi’nde ilgili kişinin kendilerine borçlu olmadığına dair güncellemenin gerçekleştirildiği,
  • Bu konulara ilişkin bilgilendirmenin ilgili kişiye noter ihtarnamesi vasıtasıyla yapıldığı, tahsilat sistemleri ve TBB Risk Merkezi bilgilerinde yapılan sorgular sonucunda ilgili kişiye ait bilgilerin sonuçlar arasında gösterilmediği ve “veri bulunamadı” sonucu alındığının doğrulandığı ve bu hususta ilgili kişiye bilgi verildiği,
  • İlgili kişiye ait kişisel verilerin arşiv kayıtlarının saklanmasının hukukî mesnedinin ileride doğabilecek uyuşmazlıklarda delil teşkil etmesi bakımından ilgili mahkeme veya yetkili kurum ve kuruluşlara ibraz edilmesi amacıyla sınırlı olarak, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hükmü olduğu

ifade edilmiştir.

İlk avukattan alınan yazıda özetle;

  • Kendisinin 13 yıl kadar önce, 2007-2008 yılları içinde çok kısa bir dönem ilgili Bankanın vekillik görevini icra ettiği ve 2008 yılı içinde vekillik görevinden ayrılarak tarafınca açılan tüm dosyaları bankaya devir ve teslim ettiği, bu tarihten sonra bu dosyalarla ilgili hiçbir işlemin tarafı olmadığı,
  • Söz konusu dönemde kendisi tarafından açılan icra takiplerine ilişkin ad, soyad, adres gibi bilgilerin tamamının Banka tarafından kendisine iletildiği ve buna göre icra takiplerinin başlatıldığı, bu bilgilerde bir hata var ise kendisinin bunu bilmesine imkân olmadığı

ifade edilmiştir.

İkinci avukattan alınan yazıda özetle,

  • Şikâyete konu icra dosyasında avukatlığını yaptığı müvekkil şirketin bir varlık yönetimi şirketi olduğu ve bankaların tahsili gecikmiş alacaklarını ihale usulü ile satın alarak elde etmekte olduğu,
  • Genel olarak bu tür dosyalarda yeni bir icra takip işleminin yapılmayıp bankaların daha önce açmış olduğu icra takipleri üzerinden işlemlere devam edilmekte olduğu, bu aşamada yeni bir takip yapılmadığından bankalarca icra dosyası açılırken girilen bilgilerin dosyanın devamında kullanılmakta olduğu,
  • Müvekkil Şirketin bahse konu dosyadaki borçlunun mal varlığının tespiti için mal varlığı sorgulama işleminin yapılması talimatını verdiği,
  • Kişisel verilerin kendisine ait hukuk bürosu uhdesinde kayıt altında tutulmadığı, müvekkil Şirket ile yapılan yazışmalarda da müvekkil Şirketin hem şirket bünyesinde hem de Bankada tutulan bilgilerin silinmesini sağladığı bilgilerinin kendilerine iletildiği

hususları ifade edilmiştir.

Üçüncü avukat tarafından ise Kurum yazısına herhangi bir cevap verilmemiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde ilgili kişinin, kişisel verisi işlenen gerçek kişi; veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; veri işleyenin ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer almakta olduğu,
  • Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet Müdürlüğünün İcra Müdürlüğüne böyle bir kişinin belirtilen adreste bulunmadığı bilgisini ilettiği, bunun üzerine veri sorumlusu Banka tarafından borçlunun adres bilgilerinin tespiti için müzekkere yazdırıldığı, bu müzekkerede de ilgili kişinin borçlu ile aynı olan isim, soy isim ve doğum tarihi bilgileri dışında T.C. kimlik numarasının da yer aldığı fakat doğum tarihi ve ana baba adı gibi verilerinin kendisine ait olmadığının tespit edildiği,
  • İlgili kişinin dilekçe ile veri sorumlusu bankaya ve BİMER (CİMER) üzerinden savcılığa şikâyette bulunması üzerine Cumhuriyet Başsavcılığı tarafınca açılan Soruşturma Dosyası kapsamında veri sorumlusu Banka tarafından Başsavcılığa verilen yanıtta ilgili kişinin şubelerine başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği, KKB kayıtlarının düzeltildiği, takip hesabının devir yapıldığı, Varlık Yönetim Şirketine ayrıca bilgilendirme yapıldığının veri sorumlusu Bankanın 2017 yılı içerisindeki kendi içerisinde ve Varlık Yönetimi Şirketi ile yaptığı yazışmalardan görüldüğü,
  • Öte yandan ilgili kişinin de 06.07.2017 tarihinde veri sorumlusu Varlık Yönetimi Şirketinin hattına, bankanın Cumhuriyet Başsavcılığına verdiği yanıtı faks gönderdiği, bununla birlikte 2017-2019 yılları arasında Varlık Yönetimi Şirketinin kurumsal hesabıyla WhatsApp uygulaması üzerinden yapılan yazışmalar ile, konuyu kendilerine intikal ettirmesine ve talebinin ilgili birime iletildiğine dair geri bildirim almasına karşın ilgili kişiye Varlık Yönetimi Şirketi tarafından yapılan aramaların 2019 yılı içerisinde dahi devam ettiği, ilgili kişiye ait borçların sistemden ve TBB Risk Merkezinden ilgili kişinin şikâyet kaydının oluşturulduğu Haziran-Temmuz 2019 tarihlerine kadar silinmediğinin anlaşıldığı,
  • Somut olayda Banka ile Varlık Yönetimi Şirketinin Kanunun 3 üncü maddesi kapsamında veri sorumlusu sıfatını haiz olduğu, bununla birlikte veri sorumlusu Banka ve Varlık Yönetim Şirketi ile birlikte şikâyet olunan avukatların ise Bankanın/Varlık Yönetim Şirketinin dosya kapsamındaki vekilleri olduğu, kendilerinin veri sorumlusu Banka ile veri sorumlusu Varlık Yönetim Şirketinin talimatları altında kişisel veri işlediği ve birtakım yasal işlemleri yürütmekten ibaret olan vazifelerini yerine getirdikleri, şikâyet edilen avukatların kendi iradeleriyle “kişisel verilerin işlenme amaçlarını belirleyerek” herhangi bir kişisel veri işleme faaliyeti yürüttüğüne dair tevsik edici bir belge Kuruma ulaşmamış olduğundan mezkûr şahısların veri sorumlusu sıfatını haiz olmadıklarının anlaşıldığı,
  • Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin (3) numaralı fıkrasının “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hale getirilir. …., “Yürürlük” başlıklı 32 nci maddesinin ise “Bu Kanunun; a) 8’inci, 9’uncu, 11’inci, 13’üncü, 14’üncü, 15’inci, 16’ncı, 17’nci ve 18’inci maddeleri yayımı tarihinden altı ay sonra, b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer.” hükmünü amir olduğu,
  • İlgili kişinin kişisel verilerinin veri sorumlusu Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak veri sorumlusu Varlık Yönetim Şirketine aktarıldığı, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş kişisel veriler yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirilir” hükmü çerçevesinde ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği,
  • Bununla birlikte veri sorumlusu Bankanın, ilgili kişinin kendisine yaptığı başvuruya Kanun ve Tebliğ hükümleri kapsamında cevap vermediğinin görüldüğü,
  • Veri sorumlusu Varlık Yönetimi Şirketinin, veri sorumlusu Banka tarafından akdedilen sözleşme kapsamında kendisine aktarılmış olan kişisel verileri kullandığı görülmekle birlikte, ilgili kişiye ait kişisel verilerin veri sorumlusu Banka tarafından veri sorumlusu Varlık Yönetimi Şirketine aktarımının, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde ifade olunan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” uyarınca hukuka uygun olduğu kanaatinin hâsıl olduğu,
  • Ancak veri sorumlusu varlık yönetimi şirketinin ilgili kişi ve veri sorumlusu Banka tarafından 2017 yılı içerisinde yapılan e-posta, faks ve WhatsApp uygulaması yollarıyla yapılan bütün bildirimlere karşın ilgili kişinin dosyası hakkında bir şikâyet kaydı oluşturmadığı, bu sebeple ilgili kişinin aslında var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmeye devam edildiği, şirket bünyesindeki kişisel verilerinin silinmeyip UYAP’tan taraf kaydının kaldırılmadığı, bu sebeple TBB Risk Merkezi veri tabanında ilgili kişiye kayıtlı borçların görüntülenmeye devam edildiği, bu durumun Kanunun 12 nci maddesini ihlâl ettiği

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Veri sorumlusu Bankanın ilgili kişilere yasal süre dâhilinde, Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi konusunda azami dikkat göstermesi hususunda talimatlandırılmasına,
  • Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 29.07.2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı tevsik edici bir belgenin Kuruma iletilmediği, ayrıca ilgili kişinin Kuruma intikal ettirdiği 04.12.2019 tarihli TBB Risk Merkezi Raporunda halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına,
  • Şikâyet edilen diğer taraflar olan avukatların ise veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına,
  • İlgili kişinin maddî ve manevî zarara uğratıldığı yönündeki iddialarına ilişkin olarak adlî yargıya başvuru hakkının saklı olduğu hususunda bilgilendirilmesine,
  • Veri sorumlusu Varlık Yönetimi Şirketinin ayrıca ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair tevsik edici bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına

karar verilmiştir.

09.03.2021: “İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/03/2021
Karar No : 2021/205
Konu Özeti : İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir. 

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin kişisel verilerinin, veri sorumlusunun eski çalışanı olması nedeniyle başta İş Kanununun 75 inci maddesi ve Sosyal Sigorta İşlemleri Yönetmeliğinin 107 nci maddesi olmak üzere sair mevzuat uyarınca tutulması gereken iş yeri belgelerinin 10 yıl süre ile saklanmasını gerektiren yasal zorunluluk ve ilgili kişi ile veri sorumlusu arasında halen devam etmekte olan davaların takibi amacıyla tutulduğu, söz konusu kişisel verilerin saklama sürelerinin sonunda mevzuata uygun şekilde silineceği, yok edileceği veya anonim hâle getirileceği,
  • İlgili kişinin veri sorumlusunun eski çalışanı olması sebebiyle işlenen ve ilgili kişiyle devam etmekte olan davalar nedeniyle tutulan kişisel veriler dışında, ilgili kişiye ait “özel hard disk” ve “şifrelerin” veri sorumlusu bünyesinde saklanmadığı veya sair yollarla taraflarınca işlenmediği, 
  • 7036 sayılı İş Mahkemeleri Kanununun İş Mahkemelerinin görevlerini düzenleyen 5 inci maddesinin birinci fıkrasının (a) bendinde yer alan “5953 sayılı Kanuna tabi gazeteciler, 854 sayılı Kanuna tabi gemi adamları, 22/5/2003 Tarihli ve 4857 sayılı İş Kanununa veya 11/1/2011 tarihli ve 6098 sayılı Türk Borçlar Kanununun İkinci Kısmının Altıncı Bölümünde düzenlenen hizmet sözleşmelerine tabi işçiler ile işveren veya işveren vekilleri arasında, iş ilişkisi nedeniyle sözleşmeden veya kanundan doğan her türlü hukuk uyuşmazlıklarına” ifadesi ile Türk Borçlar Kanununda yer alan hizmet sözleşmelerinin İş Mahkemelerinin görev alanında olduğunun anlaşıldığı,
  • Türk Borçlar Kanununun İşçinin Kişiliğinin Korunması başlığı altında yer alan, Kişisel Verilerin Kullanılması alt başlıklı 419 uncu maddesinin “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.” şeklinde olduğu, bu düzenleme ile İş Mahkemelerinin görev alanında kişisel verilerin nasıl kullanılacağının (işleneceğinin) veya kullanılamayacağının (işlenemeyeceğinin) yer aldığı, mahkemenin bu konuda bir değerlendirmede bulunurken kişisel verilerin korunması ile ilgili tüm mevzuatı göz önünde bulunduracağının açık olduğu,
  • Bununla birlikte mahkemenin ilgili kişi tarafından ileri sürülen bu iddialara herhangi bir sonuç bağlamadığı, yukarıda belirtilen davalardaki taleplerin reddedildiği göz önünde bulundurulduğunda ilgili kişinin iddialarının mahkeme tarafından haklı bulunmadığının görüleceği, kaldı ki davaların hala istinaf aşamasında olmasının ilgili kişinin mahkeme tarafından haklı bulunmayan kişisel verilerle ilgili iddialarının istinaf aşamasında tekrar ileri sürmesi için bir imkân olduğu,
  • İlgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ile ilgili iddialarının Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinin (b) bendi kapsamında söz konusu davalarda da öne sürüldüğü ve konunun yargının görev alanına girdiği, şikâyetçinin dile getirdiği konuları daha önce dava konusu yapmış olmasının Kurulun bu konuda bir karar almasına engel olduğu,
  • Veri sorumlusu tarafından ilgili kişiye kullanımı için verilmiş olan dizüstü bilgisayarın işten çıkış aşamasında geri alındığı, kişinin dizüstü bilgisayarındaki veriler teslim alındıktan sonra hiçbir verisi kopyalanmadan, geri döndürülemeyecek şekilde silindiği,
  • İlgili kişinin şirkete ait e-posta hesabının işten ayrıldıktan sonra kapatılmasının, şirket hesabı ile şirket adına işlem yapılmasının engellenmesi amacıyla uygulanan standart bir prosedür olduğu

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi kapsamında yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin Kurum tarafından incelenemeyeceği, 
  • Somut olayda ilgili kişinin Kuruma vermiş olduğu şikâyet dilekçesinde iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu,
  • Veri sorumlusu tarafından verilen cevaptan ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne ve (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmüne istinaden gerçekleştirildiğinin anlaşıldığı,
  • Diğer taraftan iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği,
  • Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, buradan hareketle işçinin kullanımına tahsis edilen bilgisayar ve e-posta adreslerinin sadece iş görme amacıyla kullanılması gerektiğinin değerlendirildiği, dolayısıyla ilgili kişinin e-posta adresinin sadece iş ile alakalı hususları içeriyor olması gerektiği, bu durumda ilgili kişi ile aralarında iş ilişkisi kalmayan veri sorumlusuna ait şirket e-posta hesabına ilgili kişinin ulaşmasında yararının bulunmadığının değerlendirildiği, dizüstü bilgisayar açısından da durumun benzer olduğu, veri sorumlusu tarafından dizüstü bilgisayarın içindeki verilerin geri döndürülemeyecek şekilde formatlanmış olduğu belirtildiği, sadece iş ile ilgili hususları içerdiği varsayılan bu bilgisayarın iş ilişkisi sonlandıktan sonra ilgili kişiden alınmasının Kanuna aykırılık teşkil etmediği,
  • İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belgeye yer verilmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
  • İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir. 

03.02.2020: “İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması”
Karar Tarihi : 03/02/2021
Karar No : 2021/85
Konu Özeti : İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması

Kuruma intikal eden şikâyette; ilgili kişinin “….com.tr” adresinden ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki yanıtlarını içeren cevabî yazısının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı zira;

  • Veri sorumlusunun internet sitesinde bulunan "Kişisel Veriler Politikası" (Politika) bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü "belirli ve açık" olmadığı,
  • İlgili kişi veri sorumlusuna başvurduğunda kendisine verilen cevap ile veri sorumlusuna ait internet adresinde yer alan Politikanın kimi yerlerde çeliştiği; Politikada IP, Çerez gibi verilerin sayıldığı ancak ilgili kişiye verilen cevapta bu konularda bir bilgilendirmenin yapılmadığı,
  • İlgili kişiye verilen cevap metni içerisinde kişisel verilerin, “idarî ve resmî makamlar ile taşıma şirketlerine sınırlı ve orantılı bir şekilde aktarıldığı”nın ifade edildiği fakat Politika metni içerisinde kişisel verilerin "yurt içi/yurt dışı kuruluşlar ile diğer üçüncü kişilere" aktarıldığının söylendiği,
  • Politika metni içerisinde birçok veri ve veri aktarımından söz edildiği ancak veri bazında bir bilgilendirmenin yapılmadığı, örneğin kimlik bilgilerinin ya da adreslerin hangi şirketlere aktarıldığı hususunda bir açıklama yer almadığı

ifade edilerek veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu şirketin savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

  • İlgili kişinin internet siteleri üzerinden üyelik kaydı oluşturarak ürün sipariş ettiği, Kanunun yürürlüğe girmesiyle birlikte veri sorumlusunun Kanun kapsamında bir kişisel verileri koruma politikası uygulamaya başladığı, ilgili kişinin başvuru tarihinden itibaren geçen süre içerisinde politika metninde iyileştirmeler yapıldığı ve “Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni”nin veri sorumlusunun sitesinde yer aldığı, ilgili kişinin başvurusunda belirli ve açık olmadığını ileri sürdüğü metnin yeniden düzenlenerek daha açık bir anlama kavuşturulduğu, 
  • IP, Çerez gibi verilere ilişkin açıklamaların halihazırda Aydınlatma Metninde yer aldığı, veri sorumlusunun internet sitesinde ayrıca Çerez Politikasına da yer verildiği, metinde yer alan bilgilendirme ve açıklamaların Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 4 üncü maddesine uygun kapsamda olduğu, 24.06.2019 tarihli Mesafeli Satış Sözleşmesi gereği ilgili kişinin siparişinin ulaştırılması için zorunlu olarak işlenen ve kargo firmasına aktarılan verileri dışında herhangi bir veri paylaşımının gerçekleştirilmediği 

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/85 sayılı Kararı ile; 

  • Kanunun “Veri sorumlusunun aydınlatma yükümlülüğü” başlığını haiz 10 uncu maddesinin (1) numaralı fıkrasının; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükümlerini amir olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesinde, Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesinin gerektiği, 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği, (g) bendinde aydınlatma yükümlülüğü yerine getirilirken genel nitelikte ve muğlak ifadelere yer verilmemesi gerektiği, (ğ) bendinde açık, anlaşılır ve sade bir dil kullanılması gerektiği, (h) bendinde “hukuki sebep”ten kastın, Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanarak veri işlendiğinin olduğu, bu sebeple aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça ifade edilmesinin gerektiği, (ı) bendinde aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı gruplarının belirtilmesi gerektiği ve (j) bendinde aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesinin lüzumlu olduğu hükümlerinin bulunduğu,
  • Kanunun veri sorumlusuna yüklediği “Aydınlatma Yükümlülüğü”nün amacının, ilgili kişilerin, kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce; kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hakimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün varlığı, şeffaflık ilkesinin bir gereği olup şeffaflığın şartının da ilgili kişinin anlaşılabilir bir şekilde bilgilendirilmesi olduğu, 
  • Bu doğrultuda hazırlanan bir Aydınlatma Metninin, ilgili kişilere, yaptıkları işlem bazında, söz konusu işlem dahilinde kullanılan kişisel verilerine ilişkin bilgilendirme sağlamasının beklendiği, veri sorumluları için genel hukukî metinler niteliğinde olan “Gizlilik Politikası”, “Veri İşleme Politikası” gibi metinlerin, karışık yapıları ve ilgili kişilerin ihtiyacı olan belirlilikteki bilgilendirmeleri sağlayamamaları nedenleriyle Aydınlatma Metni olarak kullanılmamaları gerektiği,
  • Zira 26.06.2020 tarihinde Kurumun internet sitesinden yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu”nun (h) maddesinde de bu durumun, “İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.” şeklinde açıklandığı,
  • Nitekim Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek, aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği,
  • Veri sorumlusunun güncel Aydınlatma Metni incelendiğinde Kanunda ifade olunan asgari unsurlara (veri sorumlusunun kimliği, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer haklar) yer verildiğinin görüldüğü, ayrıca veri sorumlusunun işlediği kişisel verilerin de kategorik olarak Aydınlatma Metninde sunulduğu,
  • Veri sorumlusunun internet sitesinden (….com.tr) sipariş verilmek istendiğinde iki seçenek olduğu; bunlardan birincisinin internet sitesine üye olarak siparişi gerçekleştirmek, diğerinin ise üye olmadan devam ederek siparişi tamamlamak olduğu; söz konusu internet sitesinde bulunan “Üye Ol” sayfasına tıklandığında “Kişisel Verilerin Korunması hakkındaki açık rıza metnini okudum, onaylıyorum” butonu aktif edilmeden siteye üye olunamadığı, bir Aydınlatma Metni hüviyetini taşımayan bu metnin de kendi içerisinde Gizlilik Politikası metnine bir bağlantı içermediği, üye olunmadan devam edildiği takdirde ise aydınlatmaya dair herhangi bir buton veya pop-up yardımıyla aydınlatmada bulunulmadığı, 
  • Açık Rıza Metinlerinin, ilgili kişilere, işlenecek kişisel verileri hakkında sade ve özet bilgiler sunan metinler olduğu; bununla birlikte detaylı bilgilendirme için veri sorumlularının ilgili kişileri Aydınlatma Metnine yönlendirdikleri, bu durumun aydınlatmanın kişisel verilerin işlenmesinden önce yapılması adına önemli bir gereklilik olduğu fakat veri sorumlusunun bu gerekliliği yerine getirmediğinin anlaşıldığı,
  • Tebliğin “Usul ve esaslar” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasının (e) bendine göre aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer verdiği politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı zira söz konusu Aydınlatma Metninin, ilgili kişilerin sipariş vermesi ve üye olması sırasında ekrana gelmediğinden ilgili kişilerin bahse konu metni okuyup okumadığının belirsiz olduğu, bu noktada, internet sitesinden sipariş verilmesi veya internet sitesine üye olunması gibi, ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında ilgili kişilere, gerçekleştirdikleri işlemler özelinde; işlenecek kişisel veri kategorileri, bu verilerin işlenme amacı, hangi veri kategorilerinin hangi alıcı gruplarına ne maksatla aktarıldığı, sipariş kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukukî sebeplerinin belirtildiği bir metin vasıtasıyla, işlenecek kişisel veriler bazında aydınlatma yapılarak sonrasında ilgili kişilere, veri sorumlusunun genel veri işleme politikasını yansıtan metnine, örneğin bir link eklenmesi vasıtasıyla yönlendirme yapılabileceği,
  • Bu anlamda, veri sorumlusunun ilgili kişilere, kişisel verilerinin en geç elde edilmesi esnasında, bahse konu işlemler bazında, “belirli ve açık” bir aydınlatmada bulunmadığı ve Aydınlatma Metninde eksiklikler bulunduğu; bu sebeplerle de Tebliğin 5 inci maddesinin (1) numaralı fıkrasının; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” şeklindeki (g), “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünü amir (ğ) ve “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünü ihtiva eden (j) bentlerine aykırı hareket ettiği

değerlendirmelerinden hareketle, 

  • Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına 

karar verilmiştir.

03.02.2021: “Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında”
Karar Tarihi : 03/02/2021
Karar No : 2021/79
Konu Özeti : Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta 15/11/2019 tarihinde veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun 19/11/2019 tarihinde verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal eden cevabi yazıda özetle;

  • İlgili kişinin 2016 yılından bu yana beri  veri sorumlusu bankaya ait kredi kartını kullandığı, söz konusu kredi kartının 25/08/2018 tarihinden başlayarak gecikmeye girdiği, ilgili kişinin kartının gecikmeye girmesi sebebiyle kendisi ile görüşüldüğü, ilgili kişinin gecikmede olan kartı için 23/10/2018, 28/12/2018 ve 28/03/2019 tarihlerinde, ilgili kişinin vermiş olduğu iletişim numarasından arandığı ancak ulaşılamadığı,
  • İlgili kişiye bünyelerindeki iletişim numarasından ulaşmak mümkün olmayınca, 23/10/2018 tarihinde, sistemlerinde alternatif numara olarak tutulan ***10 numaralı telefon ile 28/12/2018 ve 28/03/2019 tarihlerinde ise ***55 numaralı telefonların arandığı ve söz konusu numaralar ile yapılan görüşmelerde, ilgili kişinin kişisel verilerinin hiçbir şekilde üçüncü şahıslar ile paylaşılmadığı, sadece aranan kişilere, ilgili kişinin taraflarını geri araması için not bırakıldığı, yapılan görüşme kayıtlarına ilişkin dökümlerin yazıları ekinde Kuruma gönderildiği,
  • Bankalarının tabi olduğu temel düzenleme olan 5411 sayılı Bankacılık Kanununun Ek 1 inci maddesinde " (…) Üye kuruluşlar, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. (...) Risk Merkezi, nezdindeki her türlü bilgi alışverişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir." hükmünün yer aldığı, 
  • Anılan madde kapsamında düzenlenen ve 10 Nisan 2012 tarihli, 28260 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren "Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği" hükümleri uyarınca Risk Merkezi, Risk Merkezinin kuruluş amaçları doğrultusunda kanunlarda özel hayat ve aile hayatının gizliliğine ilişkin hükümler saklı kalmak kaydıyla özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarıyla, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarıyla Kurulun uygun görüşüne istinaden bilgi alışverişine yönelik sözleşmeler imzalamaya yetkili olduğu, bu çerçevede, Risk Merkezi Yönetiminin, özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından aldığı bilgiler ile bilgi alışverişine yönelik imzalanan sözleşmeler kapsamında temin ettiği bilgileri, üyelerinin maruz kalacakları riskleri ölçmek, karşı tarafın mali gücünü düzenli olarak analiz etmek ve izlemek için ihtiyaç duydukları gerekli bilgileri dikkate alarak paylaştığı,
  • Risk Merkezi ile veri sorumlusu Banka arasında bu çerçevede bir gizlilik sözleşmesi akdedilmiş olduğu bahsi geçen yasal düzenlemeler ile alt mevzuatın belirlediği kapsamla sınırlı ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, müşterilerinin, kredilendirme süreçlerinde kullanabilmek ve risk bilgilerini alabilmek amaçları ile Risk Merkezinden sorgulamalar yapıldığı, bu çerçevede, ilgili kişinin bünyelerinde kayıtlı olan telefon bilgilerinin, Risk Merkezinden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı,
  • 15/11/2019 tarihinde ilgili kişi ile yapılan görüşme sonucunda, ilgili kişinin talebi üzerine, ilgili kişi ile yakınlarının kişisel verisi olan ***10 ve ***55 telefon numaralarından iletişime geçilmemesi için, 18/11/2019 tarihinde gerekli sistemsel güncellenmelerin gerçekleştirildiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/79 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
  • 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde, (Değişik üçüncü fıkra: 13/2/2011-6111/146 md.) “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (Ek cümleler:20/2/2020-7222/10 md.) Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı haline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir…” hükmüne yer verildiği,
  • Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesinin yer aldığı,
  • Bu çerçevede; veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı ve söz konusu kayıtlarda; ilgili kişinin ablasının bir defa, babasının ise iki defa arandığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği

değerlendirmelerinden hareketle, 

  • Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına

karar verilmiştir.

27.04.2021: “İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti”
Karar Tarihi : 27/04/2021
Karar No : 2021/422
Konu Özeti : İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusunun iş yerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonraki tarihlerde veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi, veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği, veri sorumlusunun başvuruya cevabında söz konusu fotoğrafların kullanımından vazgeçildiğini belirtmesine karşın, herkes tarafından erişilebilir sosyal medya hesabında fotoğrafların yayınlanmaya devam ettiği, ilgili kişinin açık rızası alınmamasına rağmen fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı, paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş ancak veri sorumlusu tarafından savunma, bilgi ve belge talepli Kurum yazısına herhangi bir cevap verilmemiştir.

Bununla birlikte, ilgili kişinin şikâyeti neticesinde veri sorumlusunun ilgili kişiye ilettiği cevabî nitelikli yazısında; veri sorumlusunun eski çalışanı olan ve çalıştığı döneme ilişkin olarak veri sorumlusu reklamlarında şahsi hiçbir özelliği ön plana çıkarılmadan, şirket çalışanı olarak o tarihte kendi isteği ile reklam çekimlerinde yer alması nedeniyle ilgili kişiye ait fotoğrafların şirketin tanıtımına ilişkin bölümlerde yer aldığı, tanıtım fotoğraflarında ilgili kişinin şahsına ilişkin bir kayıt ve bilgi bulunmadığı, fotoğrafların ilgili kişinin bilgisi ve izni ile çekildiği, ilgili kişinin şahsına ve kişilik haklarına ilişkin bir aykırılık bulunmadığı yine de ihtarname sonrası ilgili kişinin talebi doğrultusunda fotoğrafların kullanımından vazgeçildiği, ilgili kişinin izni ile reklam şirketi tarafından tanıtım amaçlı çekilen şirket faaliyetlerine ilişkin fotoğrafların şirket reklamlarındaki görsellerden kaldırılması nedeniyle şirket yönünden ayrıca bir zarar oluştuğu ifadelerine yer verildiği görülmüştür.
Eldeki bilgi ve belgeler çerçevesinde konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında belirtilen hallerden birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Diğer taraftan, Kanunun 7 nci maddesinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” hususu düzenlenmiş olup maddede;

(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

hükümlerine yer verildiği,

  • 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin (Yönetmelik) “Kişisel Verileri İlgili Kişinin Talep Etmesi Durumunda Silme ve Yok Etme Süreleri” başlıklı 12 nci maddesinde ise; 

(1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
” hükmünün yer aldığı,

  • Yönetmeliğin “Kişisel verilerin silinmesi” başlıklı 8 inci maddesinin (2) numaralı fıkrasının, “Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”; “Kişisel verilerin yok edilmesi” başlıklı 9 uncu maddesinin (2) numaralı fıkrasının ise, “Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” hükümlerini haiz olduğu,
  • Şikâyet konusu sosyal medya hesabında, ilgili kişinin paylaşılan fotoğraflarının yayınlanmaya devam ettiği ve hesaptan kaldırılmadığı, 15.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının arka planda ve hafif bulanık şekilde paylaşıldığı, 20.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının net şekilde seçilebildiği,
  • Veri sorumlusunun savunma, bilgi ve belge talepli Kurum yazısına yasal süre içerisinde herhangi bir cevap vermemesi karşısında, ilgili kişinin söz konusu veri işleme faaliyeti açısından açık rızasının alındığına ilişkin herhangi bir somut bilgi veya belge edinilemediği için, veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı,
  • Öte yandan ilgili kişinin talebi üzerine fotoğraflarının Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen otuz günlük yasal süre içinde silinmesi/ yok edilmesi gerektiği, yasal süre geçtikten sonra halen devam eden veri işleme faaliyetinin bu kapsamda yine hukuka aykırı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, 
  • Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

13.04.2021: “Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi”

 

Karar Tarihi : 13/04/2021
Karar No : 2021/361
Konu Özeti : : Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun (6563 sayılı Kanun) 6 ncı maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ilgili maddeleri kapsamında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • Mobil uygulamaların, müşterilere yönelik pazarlama amaçlı tesis edilen bir iletişim kanalı olarak kullanıldığı ve bu uygulamaların ayarlarında, kullanıcıların ileti almamaya ilişkin tercih hakkının bulunduğu,
  • Kullanıcıların akıllı telefonlarına uygulamayı indirdikten sonra, tanıtım iletisi gönderilmesi için tercihlerinin istenildiği ve izin verilmesi durumunda kendilerine pazarlama içerikli bildirimlerin gönderildiği,
  • Kullanıcıların bu bildirimlere en başta izin vermeme veya herhangi bir zamanda bu bildirimleri kapatma haklarının her zaman mevcut olduğu,
  • Şikâyete konu olayda, ilgili kişinin uygulama ayarlarını bildirim almaya izin verecek şekilde düzenlemesi neticesinde kendisine tanıtım iletilerinin gönderildiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruda Kanunun 11 inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca kişisel verilerinin silinmesini veya yok edilmesini istemesi üzerine, Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca işlem yapılabilmesi için ilgili kişinin hesabının ve kredi kartlarının kapatıldığı,
  • İlgili kişiye ait kişisel verilerin, Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında işlendiği ve yine kendisinin talebi doğrultusunda silindiği,
  • Hesabının kapatılması sonrasında ilgili kişinin veri sorumlusuna tekrar başvuruda bulunduğu ve kendisine yeniden hesap açıldığı,
  • Hesabının kapatılması neticesinde ilgili kişi açısından bir zararın oluşmadığının tespit edildiği

bildirilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/361 sayılı Kararı ile;

  • 6698 sayılı Kanunun kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; (a) Hukuka ve dürüstlük kurallarına uygun olma, (b) Doğru ve gerektiğinde güncel olma, (c) Belirli, açık ve meşru amaçlar için işlenme, (ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, (d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,
  • Zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Kanunda belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği hem de Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği,
  • Çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu,
  • Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,
  • Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

03.02.2021: “Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması”
Karar Tarihi : 03/02/2021
Karar No : 2021/78
Konu Özeti : Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması

 

Kuruma intikal eden bir ihbarda; veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, veri sorumlusunun avukatı tarafından Kuruma intikal eden cevabi yazıda özetle;

  • Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
  • Veri sorumlusuna ait iş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verilmekte olduğu ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile şirket çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
  • Hat açma işlemlerinin akabinde müşteri bilgilerinin ve kontratın telekomünikasyon şirketi tarafından incelendiği ve eksik veya yanlış bilgi olması durumunda telekomünikasyon şirketi tarafından ceza kesildiği, veri sorumlusunun prim alabilmesinin yapılan satış adedine ve satışın BTK kurallarına uygun olarak eksiksiz yerine getirilmesine bağlı olduğu,
  • Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000 işleminin incelendiği ve hiçbir usulüz işleme rastlanılmadığı, şikayetçinin müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği

ifade edilmiştir.

Bahse konu savunma üzerine, çalışanlara yönelik verildiği ifade edilen eğitimleri kanıtlayıcı nitelikte belgeler ile eğitimlerin içeriğine ilişkin bilgiler ve yürütüldüğü ifade edilen incelemelere ilişkin raporların birer örneği ile veri sorumlusunca Kanunun 12 nci maddesi kapsamında alınan tüm idari ve teknik tedbirlere ilişkin kanıtlayıcı nitelikte belgelerin Kuruma iletilmesi talep edilmiş olup veri sorumlusunun cevabi yazısında özetle; yeni işe başlayan çalışanlara yazıları ekinde sunulan kitapçığın verildiği, bu kitapçıkta yer alan oryantasyon konularından birinin de “kişisel verilerin korunması” olduğu, eğitimde müşterilerin kişisel verilerinin korunmasına ilişkin bilgilendirmelerin çalışanlara yapıldığı, çalışanların şahsi telefonlarını kullanmalarının yasak olduğu, bu nedenle şahsi telefonlarla fotoğraf çekilmediği ve ilgili kişilere ait kişisel verilerin whatsapp’ta depolanmadığı, telekomünikasyon şirketinin portalı üzerinden yapılan bu işlemlerin veri sorumlusunca saklanmasının mümkün olmadığı belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/78 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun kişisel verilerin işlenme şartlarına ilişkin 5 inci maddesinin (1) numaralı fıkrasının “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, (2) numaralı fıkrasının: “Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde düzenlendiği,
  • Kanunun 12 nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu, ayrıca anılan maddenin (3) numaralı fıkrasında veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu, (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı, (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verildiği,
  • Somut olayda, pasaportların işlenmekte olduğu sistemin telekomünikasyon şirketi tarafından kurulan ve yönetilen bir sistem olduğu anlaşılmakla birlikte, pasaportların sisteme işlenmesini sağlayan çalışanların veri güvenliğine ilişkin yükümlülüklere uymasını ve sisteme işleme sırasında kişisel verilerin güvenliğini sağlamak hususunda şikâyet olunan şirketin sorumluluğu olduğu kanaatine varıldığından şikâyet olunan şirketin somut olayda veri sorumlusu olduğu,
  • Veri sorumlusu tarafından çalışanlara yalnızca şirket bilgisayarı temin edildiği, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verildiği ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği ve çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı belirtilmekle birlikte, ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığını gösterir kanıtlayıcı nitelikte belgeler olduğu görüldüğünden söz konusu ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı hareket ettiği,
  • Öte yandan, veri sorumlusunun daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın Kanuna aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükmüne uygun hareket edilmediği

değerlendirmelerinden hareketle,

  • Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
  • 5237 sayılı Türk Ceza Kanununun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına

karar verilmiştir.

12.01.2021: “İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması”
Karar Tarihi : 12/01/2021
Karar No : 2021/32
Konu Özeti : İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması

 

İlgili kişi adına vekilinden alınan şikâyette, ilgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Bankadan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili birimi nezdinde inceleme başlatılmış olduğu,
  • Banka tarafından yapılan inceleme sonucunda, İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4…. Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeni ile; mahkemenin bu veriye ulaşmak istediği takdirde Bankadan temin edebileceği ve eşler arasında zaten bilinen bir konunun diğer eşin avukatı marifetiyle -konuyla ilgisiz üçüncü kişilere açık etmeksizin- mahkemeye sunması hususları bir arada değerlendirilerek, diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği ve yazı ile müşteri başvurusunun yanıtlandığı, bu itibarla başvurucunun talebi doğrultusunda Kuruma başvurulmadan önce Banka tarafından gerekli işlemler tesis edildiğinden, Kuruma yapılan başvuruya ilişkin talebin konusuz kaldığı ve başvurunun haklı ve yasal dayanağının bulunmadığı,
  • Bankanın müşterisi olan ilgili kişinin kişisel verilerinin Banka tarafından, kişisel verilerin işlenmesine dair hukuka uygunluk nedenleri çerçevesinde hukuka uygun olarak işlendiği ve kişisel verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı,
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi şeklinde ortaya çıkan veri güvenliği ihlallerinin, veri sorumlusu sıfatını haiz Banka ya da yurtiçi iştirakinin yetkili veya çalışanları değil, bu verilere yetkisiz ve hukuka aykırı olarak erişen üçüncü kişiler tarafından gerçekleştirilebileceği, bu verilere görevinden kaynaklı olarak erişim yetkisi bulunmakta olan Banka personeli diğer eşin hukuka aykırı bir erişiminin söz konusu olmadığı,
  • Diğer eşin şahsi görevinden kaynaklanmayan sebeplerle ilgili kişinin kişisel verilerine ulaşarak mahkemeye sunmasında Bankanın bir kusuru olmadığı ve bunun da ötesinde, Bankanın objektif olarak alabileceği bir güvenlik önleminin de bulunmadığı,
  • Sonuç itibariyle, Bankanın kişisel verilerin korunmasına ilişkin mevzuatı uygulama konusundaki azami dikkat ve hassasiyeti ile şikâyete konu ilgili kişinin talep doğrultusunda gerekli araştırmanın yapıldığı, Bankanın kişisel verilerin işlenmesinde hukuka aykırı herhangi bir iş ve işleminin bulunmadığı ve öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getiren Bankanın bir kusuru ve dolayısıyla sorumluluğu bulunmadığı

belirtilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 12/01/2021 tarih ve 2021/32 sayılı Kararı ile;

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak; hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebildiği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı, buna göre; a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
  • Kanunun 12 inci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmünün, (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği ve Kurulun gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükmünün yer aldığı,
  • Kurulun 31/05/2018 tarih ve 2018/63 sayılı Kararı ile bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine karar verildiği,
  • Ayrıca, Kurul, 24.01.2019 tarih ve 2019/10 sayılı Kararı ile Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verildiği,
  • Somut olayda ilgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, Bankanın İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4... Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeniyle veri sorumlusu tarafından Banka çalışanı diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği,
  • Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı, veri sorumlusu bünyesinde çalışan diğer eşin görevinden kaynaklı olarak erişim yetkisi bulunduğu ve şikâyet konusuna ilişkin olarak Bankanın objektif olarak alabileceği bir güvenlik önleminin bulunmadığı, Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uyum ve uygun veri güvenliği düzeyini temin etmeye ilişkin olarak düzenlemelerin hazırlandığı ve veri sorumlusu bünyesinde çalışan personele farkındalıklarının artması için eğitim verildiği hususları belirtilmekle birlikte Kişisel Verilerin Korunması Uygulama Esas ve Usulleri başlıklı idari ve teknik tedbirlerin listelendiği bir bölüme yer verilmesi dışında isimleri geçen düzenlemeler, personele verilen eğitimler ve veri sorumlusu nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alındığına ilişkin herhangi bir tevsik edici belgenin Kuruma sunulmadığı,
  • Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar olunmasına rağmen Kanunun 12 inci maddesinin (5) numaralı fıkrası uyarınca ve Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı kapsamında ilgilisine ve Kurula herhangi bir veri ihlal bildirimi yapılmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına
  • Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda talimatlandırılmasına,
  • Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,
  • Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine

karar verilmiştir.

13.04.2021: “İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi hakkında”
Karar Tarihi : 13/04/2021
Karar No : 2021/358
Konu Özeti : İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu, ilgili kişinin veri sorumlusu nezdindeki son işleminin de bu tarih olduğu, ilgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, ilgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği, ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği, veri sorumlusu tarafından verilen cevabın yetersiz olduğu, ilgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesi kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği, veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin kendilerine tebliğ edilen başvurusuna verilen cevabın sehven ilgili kişiye 2 gün gecikmeli olarak gönderildiği, yapılan bu hatayla ilgili veri sorumlusu bünyesinde gerekli tedbirlerin alındığı,
  • İlgili kişinin veri sorumlusu nezdindeki müşteri numarasının 2003 yılında oluşturulduğu, bu yıl ilk kredi kartı girişinin yapıldığı, bu çerçevede ilgili kişi ile veri sorumlusu arasında 18/11/2003 tarihli Kredi Kartı Başvuru Formu ve Bankacılık İşlemleri Sözleşmesinin ve 14/11/2011 tarihli Bilgi Güncelleme, Kimlik Adres Tespit Tutanağı ve Bankacılık İşlemleri Sözleşmesinin mevcut olduğu,
  • Veri sorumlusu nezdinde ilgili kişiye ait herhangi bir açık hesap ya da ürünün bulunmadığı, ilgili kişiye müşteri ilişkisi çerçevesinde hizmet sağlanamıyor olsa da 5411 sayılı Bankacılık Kanunu kapsamında yükümlülüklerinin halen devam ediyor olması sebebiyle ilgili kişinin bilgilerinin veri sorumlusunun veri tabanında saklandığı,
  • 08/11/2019 tarihinde Gelir İdaresi Başkanlığının bildirimine istinaden ilgili kişinin veri sorumlusunda hak ve alacağının olmaması nedeniyle e-haciz uygulanamamış olduğu, aynı gün yine kurumdan gelen iptal bilgisine istinaden kayıtlara geçen haciz bilgisi iptal işleminin veri sorumlusu sisteminde kayıtlı bulunan cep telefonuna “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde yasal bilgilendirme içeren SMS’in gönderildiği,
  • Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna istinaden 01/05/2015 tarihinden itibaren iletişim izni olmayan müşterilere pazarlama, temenni, kutlama içerikli elektronik iletilerin gönderilmemesi gerektiği, ayrıca Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliğinin 6 ncı maddesinin (2) numaralı fıkrası uyarınca iletilerin yasal bilgilendirme içermesi halinde bu konuda iletişim izni bulunmasına gerek olmadığı,
  • Veri sorumlusu nezdinde, vergi dairelerinden dosya borçlusu kişiler aleyhine/adına gelen haciz bildirimleri için birbirini tetikleyen bir sürecin mevcut olduğu, bu süreçte bahse konu müşterilere konu hakkında bilgilendirme mesajlarının gönderilmesinin de yer aldığı, bu mesajların yasal bilgilendirme içeriyor olması sebebiyle de otomatik tetiklenen bilgilendirme SMS’lerinde müşterinin iletişim izni durumuna bakılmadığı,
  • 5411 sayılı Bankacılık Kanununun “Belgelerin Saklanması” başlıklı 42 nci maddesi gereğince müşterilerin banka nezdinde yaptığı işlemlere ilişkin belgelerin, son işlem/talimat tarihinden itibaren 10 yıl süreyle saklandığı, 10 yıl hareketsiz kalan hesapların banka sistemlerinde taranarak 6 ayda bir periyodik silme işlemine tabi tutulduğu, bunun yanı sıra hesaba bağlı olmaksızın müşterilerden gelen talepler için de son işlem tarihinden itibaren 10 yıl geçmesi akabinde veri sorumlusu nezdindeki verilerin silindiği,
  • İlgili kişinin veri sorumlusu nezdindeki son işleminin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu, 16/12/2019 tarihinde ise daha önce izni bulunan kampanya bilgilendirmesine yönelik iznini iptal ettiği,
  • Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunluluk halinin devam ettiği, diğer bir ifadeyle Kanunun 5 inci ve 6 ncı maddelerinde sayılan işleme şartlarının tamamen ortadan kalkmamış olması sebebiyle ilgili kişiye ait verilerin ancak veri sorumlusu nezdindeki son işlem tarihinden itibaren 10 yıl sonra silinebileceği,
  • İlgili kişinin verilerinin Kanunun 9 uncu maddesinde yer alan ve açık rıza gerektiren haller kapsamında yurt dışına aktarılmadığı,
  • Veri sorumlusu nezdinde işlenen kişisel verilerin Kanunun 12 nci maddesi kapsamında güvenlik düzeyini sağlamaya yönelik idari ve teknik tedbirlerin alındığı,

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/358 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında ise, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümlerinin yer aldığı,
  • Öte yandan Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesi gereğince herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğu,
  • Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvurunun veri sorumlusu tarafından Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde (Tebliğ) öngörülen süre içerisinde cevaplanmadığı,
  • İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
  • Veri sorumlusu tarafından ilgili kişiye “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde olan iletinin gönderilmesi suretiyle kişinin telefon numarasının Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
  • İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,
  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunulmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Kanun kapsamında yaptığı başvurusuna, kendisine ulaşmasına rağmen 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun Kanunun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • Veri sorumlusu tarafından söz konusu iletinin gönderilmesi suretiyle ilgili kişinin kişisel verisi olan cep telefonu numarasının işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı, öte yandan ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

05.04.2021: “Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması”
Karar Tarihi : 05/04/2021
Karar No : 2021/333
Konu Özeti : Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusu sigorta şirketinin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirketlerinin sigortacılık faaliyetlerini gerçekleştirmek ve mevzuattan doğan yükümlülüklerini yerine getirmek amacıyla çeşitli tedarikçi şirketler ile hizmet satın alımı yoluyla iş birliği yaptığı, bu hizmetlere ilişkin usul ve esasların düzenlendiği Sigortacılık Destek Hizmetleri Hakkında Yönetmeliğin “Hizmet konuları” başlıklı 4 üncü maddesinin (h) fıkrasında sovtaj yönetimi hizmetlerinin alınabilecek destek hizmetleri arasında sayıldığı,
  • Bu çerçevede üçüncü kişi şirket ile Ağır Hasarlı Araç Satış Sözleşmesi düzenlendiği, söz konusu sözleşmenin 13.9. maddesinde sigortalı ya da üçüncü kişilerin kişisel verilerinin Kanun ve ilgili mevzuata göre saklanabileceği, toplanabileceği, işlenebileceği ve aktarılabileceğinin düzenlendiği, yürütülen işlemlerin sigorta mevzuatına uygun olarak eksiksiz bir şekilde yerine getirildiği, kişisel verilerinin sadece sözleşmenin ifası için, ölçülü bir şekilde, hukuka, Kanun ve ilgili mevzuata uygun bir şekilde işlendiği,
  • Şikâyet konusu kişisel veri aktarımının poliçeden doğan hasarı tazmin etme yükümlülüğünü yerine getirmek amacıyla, Kanunun 8 inci maddesinin (2) numaralı fıkrasının (a) bendi atfıyla 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayanılarak Ağır Hasarlı Araç Satış Sözleşmesinde tanımlanan yükümlülüklere uygun şekilde işlemlerin yürütülmesi amacıyla şirketleri adına veri işleyen sıfatıyla üçüncü kişi şirkete aktarımının yapıldığı,
  • Şikâyete konu aktarım bakımından bilgilendirmenin verinin aktarılmasına başlanmadan önce ilgili kişiye gönderilen bilgilendirme formu aracılığıyla yapıldığı ve kişisel verilerinin poliçenin düzenlenebilmesi, risk değerlendirmesi yapılabilmesi, tazminat değerlendirmesi yapılabilmesi ve poliçedeki yükümlülüklerin yerine getirilebilmesi için şirketlerinin birlikte çalıştığı kuruluşlara aktarıldığı konusunda bilgilendirildiği,
  • Aktarım tarihinde internet sitelerinde yer alan aydınlatma metninde şirketlerinin kişisel verileri “Teklif, risk yönetimi, reasürans, hasar inceleme, tespit, tazmin, tazminat, tahsil, transfer, rücu, asistans hizmeti ve benzer süreçlerin yürütülmesi” amacıyla işlediği ve “Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılacağı” başlığı altında kişisel verilerin sayılan amaçlarla bağlantılı olarak aktarıldığı konusunda ilgili kişilerin bilgilendirildiği,
  • Güncel çağrı merkezi poliçe satış süreçlerinde de Kanun kapsamında aydınlatma ve bilgilendirmelerin kişisel verilerin elde edilmesi sırasında ilgili kişiye ön bilgilendirme yapılması suretiyle gerçekleştirildiği, ayrıca ilgili kişinin çağrı merkezi aracılığıyla kişinin internet sitesindeki aydınlatmaya yönlendirilmesi suretiyle katmanlı olarak bilgilendirme de yapıldığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/04/2021 tarihli ve 2021/333 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasında “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişiyi”, “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”, “veri işleyen”in ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade ettiği, Kanunun 3 üncü maddesinde yer alan tanımlar uyarınca, ilgili kişiye ait olan kimlik ve iletişim gibi bilgilerin kişisel veri, ilgili kişinin söz konusu bilgileri üzerinde gerçekleştirilen her türlü işlemin kişisel veri işleme faaliyeti, kişisel verisi işlenen kişinin ilgili kişi ve kişisel verileri işleyen sigorta şirketinin veri sorumlusu, kişisel verilerin aktarıldığı üçüncü kişi şirketin ise veri işleyen olarak değerlendirildiği,
  • 5684 sayılı Sigortacılık Kanununun “Tanımlar” başlıklı 2 nci maddesinde destek hizmeti kuruluşunun “Bu Kanun kapsamındaki kuruluşlara, faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte hizmet veren kuruluşlar”, sigorta şirketinin ise, “Türkiye’de kurulmuş sigorta şirketi ile yurt dışında kurulmuş sigorta şirketinin Türkiye’deki teşkilâtı,” olarak tanımlandığı,
  • Sigortacılık Destek Hizmetleri Hakkında Yönetmelikte sigorta şirketlerinin ana faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte destek hizmeti alımına, destek hizmetlerinin verilişine ve bu hizmetleri sunan destek hizmeti sağlayıcılarına ilişkin usul ve esasların düzenlendiği, anılan Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (h) bendinde ise sovtaj yönetimi hizmetlerinin dışarıdan temin edilebilecek destek hizmetleri arasında sayıldığı, 5 inci maddede destek hizmeti sunumunda hizmetin kimin adına sunulduğunun açıkça belirtileceği ve destek hizmeti sağlayıcılarının bu işleri nedeniyle bilgi sahibi oldukları sigortalılara, hak sahiplerine ve katılımcılara ait sırların korunmasına yönelik gerekli tedbirleri alacağının hüküm altına alındığı,
  • İlgili sigorta mevzuatı hükümleri uyarınca yardımcı veya tamamlayıcı nitelikteki sovtaj yönetimi hizmetlerinin destek hizmeti olarak alınabileceği, bu çerçevede ilgili kişinin, açık rızası alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu veri işleme faaliyetinin sigorta poliçesindeki yükümlülüklerin yerine getirilebilmesini teminen Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığı,
  • Veri sorumlusu ile veri işleyen üçüncü kişi Şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde ise, üçüncü kişi şirketin veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işlemesi sebebiyle veri işleyen olarak hareket ettiği anlaşıldığından, veri sorumlusu ile onun adına kişisel verileri işleyen arasında yapılan paylaşımların Kanunun 8 inci maddesi kapsamında ele alınamayacağı,
  • İlgili kişiye kişisel verisinin aktarımına ilişkin aydınlatma yapılmadığı iddiasına ilişkin olarak aydınlatma metni incelendiğinde; “Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği” bölümünde yer alan “Kişisel Verilerin İşlenme Amaçları” başlığı altında “sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel verilerin aktarılabileceğinin” belirtildiği tespit edilmiş olup söz konusu ibarenin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasının (g) bendinde yer alan; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” hükmüne aykırı olduğu; ayrıca “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” başlığı altında hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça ortaya konulmadığı, bununla birlikte veri sorumlusunca daha sonra internet sitelerinde yayımlanan aydınlatma metninin güncellendiği ancak hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin hala net olarak ortaya konulmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
  • Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
  • İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına

karar verilmiştir.

07.10.2021: “Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi”
Karar Tarihi : 07/10/2021
Karar No : 2021/1021
Konu Özeti : Mağazacılık faaliyeti yürüten bir veri sorumlusunun veri ihlal bildirimi

 

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde özetle:

  • 4792 veri sorumlusu müşterisine ait kişisel verilerin internet üzerinden bir forum sitesinde satılmaya çalışıldığı,
  • Kişisel veri ihlalinin daha önce hizmet alınan ve halihazırda ilişiğinin bulunmadığı veri işleyen bünyesinde gerçekleştiğinin düşünüldüğü; zira:
    • Etkilenen 4792 kişiye ait verilerin tamamının ilgili veri işleyenden hizmet alınan döneme ait olduğu, o Satışı yapılan listedeki kişilerin tamamı için her birine ayrı kod verildiği, söz konusu kodların veri işleyene özgü olduğu bilinen formatta olduğu,
    • Veri ihlalinin gerçekleştiği forum sayfasında hukuka aykırı şekilde kişisel veri satışı gerçekleştirmeye çalışan kullanıcının, muhtelif veri sorumlularının müşterilerine ait kişisel verileri de satışa çıkardığının görüldüğü, bahsi geçen veri sorumlularının da tıpkı kendileri gibi ilgili veri işleyenden e-ticaret entegrasyon hizmeti aldıkları/almakta olduklarının haricen öğrenildiği,
  • İhlalden toplam 4792 kişiye ait e-posta adresi, siteye son giriş tarihi ve şifrelenmiş parola bilgisi, 4616 kişiye ait ad ve soyad, 4536 kişiye ait telefon numarası, 33 kişiye ait TC kimlik numarası, 1669 kişiye ait sipariş tutarı, 67 kişiye ait adres, 1749 kişiye ait sipariş sayısı, 1714 kişiye ait siteye kayıt tarihi, 2176 kişiye ait şifrelenmiş cinsiyet, 3337 kişiye ait doğum tarihi bilgisinin etkilendiği,
  • Veri ihlaline ilişkin detaylara hakim olunabilmesi amacıyla veri işleyene keşide edilen ihtarname aracılığıyla, halihazırda silinmiş olması gereken ihlale konu kişisel verilerin 1 iş günü içerisinde imha edilmesi ve söz konusu imha tutanağı ile birlikte ihlalin kaynağını ve etkilerini içeren analizin 3 iş günü içerisinde taraflarına gönderilmesi gerektiğinin bildirildiği,
  • Etkilenen 4792 kişinin tamamına ihlal ile ilgili bilgilendirme yapıldığı

beyanlarına yer verilmiştir.

Veri ihlal bildiriminin incelenmesi neticesinde, 07/10/2021 tarih ve 2021/1021 sayılı Kişisel Verileri Koruma Kurulu Kararı ile;

  • Kuruma sunulan ekran görüntülerinde veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının, aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığının görüldüğü; anılan veri sorumlularının da aynı veri işleyenden hizmet aldıkları/almakta oldukları; bu anlamda aynı veri işleyenden hizmet alan farklı veri sorumlularının müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sayfasında ve aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceği ve verilerin veri işleyen sistemlerinden elde edilmiş olduğu yönündeki veri sorumlusu iddiasına sağlam dayanak teşkil ettiği; ancak 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (2) numaralı fıkrasının “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” hükmü çerçevesinde veri sorumlusunun veri güvenliğine yönelik yükümlülüklerinin ortadan kalkmadığı; Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen “(…) uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri (…)” hükmü ile bağlı olduğu,
  • Veri işleyenin kişisel verileri muhafaza ettiği dijital ortamlara yönelik ihlalden önce gerçekleştirilmiş bir sızma testi raporu bulunmadığı; buna paralel olarak veri sorumlusunun veri işleyen bünyesinde ihlalin gerçekleşmesine sebep olabilecek teknik zafiyetlerin neler olduğuna ilişkin bilgi sahibi olamadığı; dolayısıyla veri işleyenin kişisel verilerin korunması hususunda uygun güvenlik düzeyini temin etmesini garanti altına almak noktasında üzerine düşen denetim tedbirini almadığı; ayrıca veri sorumlusunun, veri işleyenin muhafaza ettiği kişisel verilerin imhasına yönelik olarak aralarındaki ticari ilişkinin sonlanmasını müteakip gerekli girişimlerde bulunması gerekirken bunu ihlalden sonra yaptığı; bu itibarla Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” amacıyla gerekli tedbirleri almaktan imtina ettiği; anılan gerekçelerle veri sorumlusunun veri işleyen ile ilişkilerin yönetimi noktasında özensiz davrandığı,
  • Veri sorumlusu sunucularında da ihlalden önce sızma testi yapılmadığı; Kuruma iletilen ihlal sonrası yapılmış sızma testi raporları incelendiğine, düşük, orta ve yüksek risk seviyeli çeşitli zafiyetlerin tespit edildiğinin görüldüğü; bu yüzden, veri sorumlusunun ihlalden önce söz konusu testleri yapıp/yaptırıp, sonucunda bulunan zafiyetlerin giderilmesi noktasında gayret göstermediği,
  • İhlalden etkilenen kişi sayısının yüksek olduğu, etkilenen kişilerin müşteriler olduğu ve kişisel verilerin hukuka aykırı şekilde satışa çıkarıldığı forum sitesinin başka veri sorumlularının uhdesinde bulunan kişisel verilerin de satışa çıkarılmasıyla bilinen kötü şöhretli bir oluşum olduğu, bu nedenlerle etkilenen kişisel veri kategorileri de göz önünde bulundurulduğunda ihlalin etkilenen kişiler üzerinde olumsuz sonuç doğurma riskinin bulunduğu

değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına,

  • Veri ihlalinin 24/01/2019 tarih ve 2019/10 sayılı Kurul Kararı ile belirlenen ihlalin öğrenilmesinden itibaren başlayan 72 saat içerisinde Kuruma bildirildiği,
  • Etkilenen kişilerin tamamına bilgilendirme yazısı ve talep olması durumunda gönderilen detaylı cevap yazısı olmak üzere iki aşamada bildirim yapıldığı; ilk gönderilen bilgilendirme yazısının Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında belirtilen ilgili kişiye yapılan bildirimlerde yer alması gereken asgari unsurları içermediği; her ne kadar talep olması halinde gönderilen ikinci yazı Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurların tamamını içerse de etkilenen kişilerden ilave bilgi talebi gelmemesi durumunda daha detaylı ikinci yazının gönderilmediği; bu anlamda ilave bilgi talebinde bulunmayan kişilerin ihlal hakkında yeterli bilgiye vakıf olamayacakları

hususları dikkate alındığında; bundan sonraki veri ihlallerinde ilgili kişilere bildirimlerin, etkilenen herkesin bilgi almasını sağlayarak ve Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararında yer alan unsurlara uygun şekilde gerçekleştirilmesine dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına,

  • Veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığı

hususu göz önüne alındığında söz konusu veri sorumluları ile veri işleyen hakkında Kanunun 15 nci maddesinin “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” şeklindeki (1) numaralı fıkrasına dayanarak resen inceleme başlatılmasına

karar verilmiştir.

21.09.2021: “İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine erişim sağlanması”
Karar Tarihi : 21/09/2021
Karar No : 2021/962
Konu Özeti : İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine erişim sağlanması hakkında

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; Sağlık Bakanlığının e-nabız uygulamasına girdiğinde, iki farklı tarihte veri sorumlusu hastane çalışanı hekim tarafından izni dışında sisteme girildiğini ve şikâyet gününe kadar olan tüm muayene ve tetkik sonuçlarına erişildiğini fark ettiği, hastane bünyesinde çalışan söz konusu hekime, muayene talebi ile gitmemiş olmasına rağmen sağlık verilerine erişiminin 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu, hukuka aykırı bu eylemin, kendisi dışında birden çok kişiye karşı da gerçekleştirildiğini şifahen öğrendiği, daha önce söz konusu hastane bünyesinde çalıştığından sağlık verilerine izinsiz erişim ve hukuka aykırı veri kaydının kendisini manevi olarak zarara uğrattığı, konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya herhangi bir cevap verilmediği, sağlık verilerine hukuka aykırı erişimin sebebini dahi bilmediği belirtilerek, ilgili sisteme kendisi ile ilgili kişisel verilerin işlenip işlenmediği, verinin işlenme amacı, hukuka aykırı işlenen veri var ise bunların yok edilmesi, hukuka aykırı olarak ilgili kişinin sağlık verilerine erişen veri sorumlusu hastane çalışanı hekim hakkında gerekli adli sürecin ve disiplin sürecinin başlatılması, manevi olarak zararının giderilmesi ve tarafına bu hususlarda bilgi verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin veri sorumlusuna başvuru yaptığı belirtilmiş olsa da hastane kayıtlarının incelenmesinden ilgili kişinin belirtilen şekilde bir başvurusunun tespit edilemediği,
  • Öte yandan konu ile ilgili iddiaların, veri sorumlusu hastanenin eski çalışanı olan ilgili kişinin önceki dönemde şikayete konu hekimin sekreteri olan çalışma arkadaşı ile arasındaki şahsi husumet nedeniyle ortaya atıldığının değerlendirildiği,
  • Kurumun savunma yazısını müteakip hekimin bilgisine başvurulduğu ve bu esnada vicdani olarak rahatsızlık duyan hekim sekreterinin yazılı bir açıklamada bulunduğu, söz konusu yazı dikkate alındığında konu ile ilgili tüm eğitimlerin verilmesine rağmen sekreterin daha önce çok samimi olduğu ilgili kişinin bilgilerine yanında çalıştığı hekimin hasta muayene ettiği esnada baktığı ve söz konusu çalışan tarafından bu bilgilerin hiç kimse ile paylaşmadığının beyan edildiğinin anlaşıldığı,
  • Söz konusu açıklama sonrasında personel ile ilgili disiplin yaptırımı uygulandığı ve konuya ilişkin yeniden hekimler ve sekreterler başta olmak üzere tüm personelin uyarıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/09/2021 tarihli ve 2021/962 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinde kişisel verilerin işlenmesinin “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, veri işleyenin ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,
    a) Hukuka ve dürüstlük kurallarına uygun şekilde,
    b) Belirli, açık ve meşru amaçlar kapsamında,
    c) Doğru ve gerektiğinde güncel olma şartıyla,
    ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
    ilkelerine uygun işlenebileceği,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hükme bağlandığı bununla birlikte, (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmadan işlenebileceği diğer hallerin sayıldığı, buna göre;
    a) Kanunlarda açıkça öngörülmesi
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
    şartlarından birinin varlığı halinde kişisel verilerin ilgili kişinin açık rızasının alınmadan işlenmesinin mümkün bulunduğu,
  • Kanunun 6 ncı maddesinde “
    (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” 
    hükümlerine yer verildiği,
  • Somut olayda, öncelikle, veri sorumlusu hastanenin ilgili kişi tarafından kendisine yapılmış bir başvuru olmadığına yönelik iddiasına ilişkin olarak; ilgili kişi tarafından Kuruma intikal ettirilen başvuru dilekçesi ekinde ilgili kişi tarafından veri sorumlusuna yazılı olarak yapılmış başvuruya ve söz konusu başvurunun veri sorumlusuna iletildiğini gösterir belgeye yer verildiğinin görüldüğü, dolayısıyla veri sorumlusunun söz konusu savunmasının yerinde olmadığı,
  • Öte yandan, söz konusu hukuka aykırı erişimi sağladığı görünen veri sorumlusu bünyesinde çalışan hekim ve erişimi sağladığını yazılı olarak dile getiren hekim sekreterine ilişkin olarak söz konusu durumun suç unsuru barındırabileceğinden hareketle anılan kişiler açısından konunun Türk Ceza Kanunu hükümleri kapsamında ele alınması gerektiği,
  • Diğer taraftan, veri sorumlusu tarafından kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirlere dair savunma ve belgeler Kuruma iletilmiş olmakla birlikte ilgili kişinin şikâyeti kapsamında somut olayda e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişi tarafından yazılı olarak dile getirildiği üzere ilgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından 6698 sayılı Kanunun 12 nci maddesinde düzenlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığı,
  • Diğer taraftan, ilgili kişinin manevi olarak zararının giderilmesine yönelik talebine ilişkin olarak; Kanunun 14 üncü maddesinin (3) numaralı fıkrası kapsamında kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkının saklı olduğu

değerlendirmelerinden hareketle;

  • e-Nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek ilgili kişinin sağlık verilerine eriştiği dikkate alındığında söz konusu hukuka aykırı erişimin veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğu ve bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Öte yandan, veri sorumlusunun Kanunun 13 üncü maddesi kapsamındaki yükümlülüğünü yerine getirmek üzere kendisine iletilen başvuruları yanıtlaması hususunda gerekli dikkat ve özen göstermesi hususunda talimatlandırılmasına

karar verilmiştir.

08.12.2020: “Enerji sektöründe faaliyet gösteren veri sorumlusunun veri ihlali bildirimi”
Karar Tarihi : 08/12/2020
Karar No : 2020/934
Konu Özeti : Enerji sektöründe faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • Veri sorumlusunun kurumsal internet sitelerinde yayınlama amacıyla kurum içinde hazırlanmış ürün katalogları, dokümanlar, resimler ve sertifikaların yer aldığı bir kurum içi arşiv platformunun bulunduğu,
  • Yönetim tarafından kendisine verilen yetki kapsamında, platform kullanıcılarının eğitiminden sorumlu ve bu konuda yetkili bir çalışanın, platformunun kullanımı hakkında uygun şekilde eğitimi için profesyonel görevlerinin yürütülmesi amacıyla platform yöneticisiyle birlikte bir irtibat listesi hazırladığı,
  • Eğitimi düzenleyen çalışanın platform yöneticisi tarafından sağlanan kullanıcı listesini, olağan iş koordinasyonu kapsamında yetkili üst düzey kullanıcıları tarafından erişim sağlanabilen bir ortak klasörde sakladığı,
  • Bu kullanıcılardan bir tanesinin irtibat listesi ararken kullanıcı listesinde sehven şifre bilgilerinin de bulunduğunu fark ettiği ve durumu raporladığı,
  • Söz konusu listede, sehven, kurum içi bir platformun kullanıcılarının şifrelerinin açık bir şekilde, kullanıcı adı, isim, profesyonel e-posta adresi gibi tanımlayıcılarla birlikte yer aldığı,
  • İhlalden etkilenen kişi ve kayıt sayısının 2 olduğu,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Kararı ile;

  • İhlalden Türkiye’den sadece iki (2) kullanıcının etkilenmiş olduğu,
  • İhlale ilişkin dosyanın erişimden kaldırılmadan önce yalnızca sekiz (8) kullanıcı tarafından erişilmiş olabileceği,
  • Söz konusu sekiz (8) kullanıcı ile görüşüldüğü tamamının gizlilik yükümlüklerini anladığını ve kabul ettiğini ve herhangi bir şifre bilgisini kullanmayacaklarını veya paylaşmayacaklarını teyit ettiği,
  • İhlale konu olan verilerin niteliği gereği olumsuz etki doğurma olasılığının düşük olduğu,  
  • İhlalden sonra ilgili platformdaki şifrelerin maskelenmesinin sağlandığı, bunun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 4.1. Teknik Tedbirler Özet Tablosu’nda da yer aldığı üzere veri maskeleme tedbirine uygun olduğu,
  • İhlal gerçekleştikten sonra tespit edilen dosyanın veri sorumlusu tarafından ivedilikle ortadan kaldırıldığı, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altında yer alan “Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.” ifadesi kapsamında değerlendirilebileceği, 
  • İhlalden etkilenen platform kullanıcılarının şifrelerinin yenilendiği ve ilgili kullanıcılara şifrelerini değiştirmeleri için bir uyarı e-postası gönderildiği, bu tedbirin de ihlal sonrasında kişisel verilerin olumsuz etki doğurma olasılığı düşük olsa da veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında yer alan “risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır” tedbirini aldığının bir göstergesi olduğu

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında bu aşamada yapılacak bir işlem bulunmadığı

  • İhlalin 02.09.2019 ile 16.09.2019 arası gerçekleştiği, 16.09.2019 tarihinde tespit edildiği ve 24.10.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunmadığı,
  • Bununla birlikte veri sorumlusunun çok uluslu bir yapısı olduğu ve etkilenen ilgili kişilerin bulunduğu ülkelerin tespit edilmesi ve ilgili ülkelerin bildirim yükümlülüklerinin tespit edilmesi ve değerlendirilmesi için gerekli süre göz önüne alındığında makul kabul edilebileceği,
  • Etkilenme ihtimali olan mevcut tüm kullanıcıların e-posta mesajıyla bilgilendirildiği ve aynı şifreyi kullanmış olabilecekleri diğer platformlar da dâhil şifrelerini değiştirmeleri konusunda uyarıldığı, yapılan bilgilendirmenin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurlardan kişisel veri kategorileri bazında hangi kişisel verilerin ihlalden etkilendiği, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler, ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları hususlarını barındırdığı, ancak, ihlalinin ne zaman gerçekleştiği ve kişisel veri ihlalinin olası sonuçları hakkında yeterli bilgi verilmediği 

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurula, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması yönünde talimatlandırılmasına

karar verilmiştir.

01.10.2020: “İnternetten market alışveriş hizmeti veren veri sorumlusunun veri ihlal bildirimi”
Karar Tarihi : 01/10/2020
Karar No : 2020/763
Konu Özeti : İnternetten market alışveriş hizmeti veren veri sorumlusunun veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • 400 kişilik bir alıcı grubuna e-posta gönderimi yapılması sırasında alıcı e-posta adreslerinin gizliliğinin korunması amacıyla tüm alıcıların ilgili toplu e-postanın BCC kısmına eklendiği,
  • Söz konusu işlem sırasında, e-posta gönderimini yapan çalışan tarafından e-postanın konu kısmına hataen 43 müşteriye ait e-posta adresinin eklendiği, bu nedenle, e-postanın konu kısmında e-posta adresi yer alan 43 alıcı bilgisinin, e-posta gönderimi yapılan 400 kişilik alıcı grubu ile paylaşıldığı,
  • Söz konusu e-posta gönderimi yapılır yapılmaz, mailin hataen yukarıda belirtilen şekilde iletilmesinin çalışan tarafından tespit edildiği ve ivedi aksiyon alınması için Teknoloji Departmanından sorumlu kişilerle iletişime geçildiği, ancak e-postanın geri alınmasının mümkün olamayacağının öğrenildiği,
  • İhlalden müşterilere ait e-posta adresi bilgilerinin etkilendiği, e-posta adreslerinin kişinin adı-soyadını da içerebildiği, bu nedenle ihlalden kimlik ve iletişim verilerinin etkilendiği,
  • 43 ilgili kişinin söz konusu paylaşım hakkında bilgilendirildiği ve ilgili kişilerin ihlalden etkilenme düzeylerinin minimize edilmesinin sağlandığı,
  • İhlalin gerçekleşmesini takiben en kısa süre içerisinde (48 saat içerisinde) ilgili kişiler ile doğrudan e-posta adresleri üzerinden iletişime geçilerek 29.09.2020 tarihinde bildirim yapıldığı

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 01.10.2020 tarih ve 2020/763 sayılı Kararı ile;

  • İhlalden 43 ilgili kişinin etkilenmiş olması,
  • İhlalden etkilenen kişisel verilerin sadece müşterilere ait e-posta ve e-posta adreslerinin içerisinde geçen ad-soyad bilgilerinin olması,
  • İlgili kişilere ihlale ilişkin 29.09.2020 tarihinde bildirimde bulunulmuş olması ve tevsik edici belgelerin Kurumumuza iletilmiş olması,
  • İhlalden etkilenen ilgili kişiler üzerinde ihlalin olumsuz sonuç doğurma riskinin düşük olması,
  • Hatalı e-posta gönderimi yapılan 400 müşteriden ihlale konu e-postanın imha edilmesinin talep edilmiş olması,
  • Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kurumumuza veri ihlalini bildirme yükümlülüğünü yerine getirmiş olması

hususları dikkate alındığında bu aşamada veri sorumlusu hakkında Kanunun 12 nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

09.0572020: “Bir sigorta şirketinin veri ihlal bildirimi”
Karar Tarihi : 09/07/2020
Karar No : 2020/532
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu akıbet dosyası seçen sorgunun hatalı çalışması nedeniyle Otomatik Katılım Sistemi (OKS) kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren akıbet dosyalarını söz konusu hata sebebiyle yanlış alıcılara gönderdiği, 
  • Veri ihlalinden veri sorumlusunun müşterisi olan 61 şirketin toplam 367 çalışanın etkilendiği,  
  • Destek hizmeti sağlayıcısından iletilen bilgiye göre; hataya sebebiyet veren uygulama 2010 yılında geliştirilmiş olup geliştirmede eski bir programdan yararlanıldığı,
  • Yapılan geliştirme 2011 yılında devreye alındığı için, 2010 yılı ve öncesinde bu hata oluşmadığı,
  • Alt yapının ilk kez kurulmasından beri mevcut olan bir hatanın olduğu ve bu hatanın ilk kez içerisinde bulunduğumuz yıl bilgisinin son rakamının 0 (sıfır) olması sebebiyle gerçekleşebildiği, (Örneğin bu alt yapı, 2010 yılından önce geliştirilseydi ilk kez 2010 yılında karşılaşılacağı ancak 2010 yılından sonra geliştirildiği için ilk problem 2020’de yaşandığı),
  • İhlalden 367 gerçek kişiye ait kimlik (TCKN, ad soyad, doğum tarihi, SGK numarası), iletişim (telefon numarası, e-posta adresi), özlük (işe başlama tarihi) ve finans (IBAN numarası, katkı payı tutarı) verilerinin etkilendiği, 
  • İhlalden etkilenen kişilere ihlal sonrası e-posta ile bildirim yapıldığı, ihlalden etkilenme durumuna göre etkilenen kişi grupları 4’e ayrılarak her bir gruba ayrı bildirimler yapıldığı, 
  • Yanlış kişisel veri dosyasının gönderildiği 854 firmaya yapılan bildirim aramaları ve e-posta gönderimleri sonunda: 543 firmanın, verileri sildiklerine dair açık teyit verdiği, irtibat bilgilerindeki sorunlar nedeniyle ulaşılamayan bütün firmalara da ayrıca posta yoluyla yazılı olarak bildirim yapılmış ve yanlış bilgilerin kaydedilmiş ise silindiğine dair teyitlerinin beklendiği beyan ettikleri, 

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 09/07/2020tarih ve 2020/531sayılı Kararı ile;

  • Veri ihlaline sebep olan sistemsel hatanın 2011 yılından itibaren kullanılmaya başlanan uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığında “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği veri ihlaline sebep olan yazılımdaki sistemsel hatanın veri güvenliğinin sağlanması amacıyla sürekli olarak takibinin gerektiği,
  • İhlale konu olayın gerçekleşme tarihi (01.01.2020) ile tespit tarihi (06.01.2020) arasında 5 günlük bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “…raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi…” ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmaması durumu ihlal bildiriminde belirtilse de sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğinden, veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiği, 

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlale sebep olan hatanın istisnai bir durum olması ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezasının uygulanmasına,

  • İhlale sebep olan sistemdeki hatanın 01 Ocak 2020 tarihinde gerçekleştiği, 06 Ocak 2020 tarihinde tespit edildiği, 08 Ocak 2020 tarihinde Kurumumuza veri ihlal bildiriminde bulunulduğu, bu durumda Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
  • Veri sorumlusu tarafından ilgili kişilere posta göndermek suretiyle bildirim yapıldığı, söz konusu metnin tarafımızla paylaşıldığı

dikkate alındığında, veri sorumlusunun bildiriminin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne uygun olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca yapılacak bir işlem bulunmadığına 

karar verilmiştir.

16.0562020: “Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi”
Karar Tarihi : 16/06/2020
Karar No : 2020/465
Konu Özeti : Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • Siber suçlularının “parola püskürtme" saldırısı ile veri sorumlusunun bilgi sistemleri iç ağına eriştiklerini bilgisinin 6 Mart 2019 tarihinde emniyet birimlerinin siber güvenlik uzmanları tarafından veri sorumlusuna bildirildiği,
  • Bilgilendirme sonrası, veri sorumlusu siber suçluları kendi dahili sistemlerinden çıkarmak için harici adli bilişim ve güvenlik uzmanlarını görevlendirdiği ve ek güvenlik önlemleri aldığı, ayrıca önde gelen bağımsız bir siber güvenlik firması tarafından yönetilen kapsamlı bir adli soruşturma çalışması başlattığı,
  • Parola püskürtme saldırılarının, saldırganların kurumsal kullanıcı hesaplarında başarıyla kimlik doğrulaması yapmasını sağladığı,
  • Saldırganlar, 5 kullanıcı hesabı için kimlik doğrulama anahtarını kaydettiği, bu da bir cep telefonu ortamı dışındaki XenDesktop Sanal Masaüstü Altyapısı (VDI) ortamına erişimi mümkün kıldığı, 
  • Ekim 2018'den Mart 2019'a kadar altı ayrı durumda, Dosya Aktarım Protokolü (FTP) ve Güvenli Dosya Aktarım Protokolü’nü (SFTP) kullanarak verileri dışarı sızdırdığı,
  • Veri sorumlusu soruşturma sırasında 6 terabayttan fazla verinin muhtemelen sistemlerinden dışarı sızdığını öğrendiği, 
  • 06.03.2019 tarihinde tespit edilen veri ihlali, 29.04.2020 tarihinde Kurumumuza bildirildiği,
  • İhlalden 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin etkilendiği,
  • İhlalden etkilenen 18 çalışanına (7 eski çalışan, 11 halihazırda çalışıyor olan) ihlal sonrası posta yolu ile 29 Nisan 2019 tarihinde bildirim yapıldığı, fakat Türkiye’de ikamet ettikleri düşünülen 4 kişinin ise iletişim bilgileri kendilerinde mevcut olmadığı için bildirim yapamadıkları,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/465 sayılı Kararı ile;

  • Veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık 5 ay sonra 06 Mart 2019’ da tespit ettiği ve bu durumun; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “… güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.” ifadesi gereği, veri sorumlusu tarafından gerekli güvenlik kontrol ve denetimlerinin zamanında yapılmadığının göstergesi olduğu,
  • Parola püskürtme saldırıları, çok sayıdaki hesaba zayıf olarak nitelendirilen parolalar kullanarak erişen kullanıcıların, parolalarının saldırganlar tarafından şifre tahmini yöntemiyle ele geçirilmesi şeklinde gerçekleştiği, söz konusu ihlalin; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığında “… kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine göre, veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı,
  • Bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığında “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir….Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır” ifadesi gereği, bu gibi saldırılara karşı veri kaybı riskini azaltmaya yönelik gerekli idari tedbirleri almadıkları,

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL,

  • 06.03.2019 tarihinde tespit edilen veri ihlali, veri sorumlusu tarafından 29.04.2019 tarihinde Kurumumuza bildirilmiş olup bu durumda Kurumumuza 55 günlük geç bildirimde bulunduğu,
  • Veri sorumlusunun ihlalden etkilenen ilgili kişilere ihlal tespit edildikten 55 gün sonra bildirim yaptığı

dikkate alındığında, Kanunun 12’nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL 

olmak üzere toplam 125.000 TL idari para cezası uygulanmasına 

karar verilmiştir.

16.06.2020: “İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi”
Karar Tarihi : 16/06/2020
Karar No : 2020/463
Konu Özeti : İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • Veri ihlalinin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber saldırı olarak veri sorumlusunun yetkili kullanıcı şifresi ele geçirilerek sistemlerine erişimin engellenmesi şeklinde gerçekleştiği ve saldırının çalışanlarının sistemlere erişememesi sonucu tespit edildiği,
  • Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği,
  • Yetkisiz erişim sağlama girişimlerinin 8 – 11 – 12 Ocak tarihlerinde gerçekleştiği, saldırının 12/01/2020 tarihinde tespit edildiği,
  • Veri sorumlusunun yaptığı incelemede, saldırının, LDAP  servislerinde kullanılan Domain Admin yetkili anonim isimli bir kullanıcı hesabı ile gerçekleştirildiği, ihlalin yapılmış olduğu bilgisayarın tespit edildiği ve şüpheliler aleyhine İstanbul Cumhuriyet Başsavcılığına şikâyette bulunulduğu,
  • Saldırının veri sorumlusunun bizzat siber güvenlik desteği almakta olduğu firmaya ait IP adresi üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği ve bu tespitin firma tarafından kabul edildiği,
  • İhlali gerçekleştiren siber güvenlik desteği alınan firmanın çalışanının aynı zamanda veri sorumlusu eski çalışanı olduğu,
  • İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu ancak 1000 kişi civarında olduğunun tahmin edildiği belirtilmekte olup bunlardan 297 kişinin şirket çalışanı olduğu; bunlar dışında kalanların ise tedarikçi, müşteri ve taşeronlara ait olduğu,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı Kararı ile;

  • Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu ancak 1000 kişi civarında olduğu ve ihlalden özel nitelikli kişisel verilerinde etkilenmiş olabileceği,
  • Veri sorumlusu, sistemlerine düzenlenen söz konusu saldırıyı şirket çalışanlarının sistemlere erişememesi sonucu tespit ettiği; özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerektiği ve bu durumun Kişisel Veri Güvenliği Rehberi 3.2. maddesinde; “Kişisel Veri Güvenliğinin Takibi” başlığı altında; “…güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir…”ifadelerine aykırılık teşkil ettiği, 
  • Veri sorumlusunun, sunucularının yedek dosyalarının depolandığı Data Domain sunucusunda yer alan verilerinin de silinmesinin, Kişisel Veri Güvenliği Rehberi 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında; “…veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir. Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir…”ifadelerine aykırılık teşkil ettiği, 

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına

  • İhlalden etkilenen şirket çalışanlarına 13.01.2020 tarihinde e-posta ile bildirim yapıldığı buna yönelik tevsik edici belgenin gönderildiği, ihlalden etkilenen şirket çalışanı dışındaki kişilere ise web sayfasından genel duyuru yapıldığı ve yapılan bu duyurunun ise Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı gerekliliğine uygun olduğu, 
  • 11.01.2020 tarihinde gerçekleşen veri ihlali, 12.01.2020 tarihinde tespit edilmiş ve Kurumumuza 14.01.2020 tarihinde bildirilmiş olup veri sorumlusunun Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne uygun hareket ettiği

hususları dikkate alındığında; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne uygun davranan veri sorumlusu hakkında bu konuda yapılacak bir işlem bulunmadığına

karar verilmiştir.

22.05.2020: “Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi”
Karar Tarihi : 22/05/2020
Karar No : 2020/421
Konu Özeti : Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • 06.03.2020 tarihinde veri sorumlusu e-posta adresine kimliği belirsiz bir şahıstan veri sorumlusu web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiğine dair bir mesaj geldiği, 
  • Yapılan incelemelerde, veri sorumlusu ile herhangi bir ilişkisi olmayan üçüncü kişilerin veri sorumlusunun kullanımındaki veri tabanlarından herhangi bir sızıntı olmaksızın dışı kaynaklardan elde ettikleri elektronik posta adresleri/şifreler ile veri sorumlusuna ait internet sitesine giriş yaptıkları,
  • 04.03.2020 tarihinde bu olayın meydana geldiği, anılan kişi veya kişilerin ellerindeki e-posta şifre bilgilerini 14.000'den fazla IP'den bağlantı kurarak ve 500.000’in üzerinde e-posta/şifre kombinasyonunun sitede denedikleri,
  • Her başarısız denemeden sonra bir başka e-posta/şifre denemesi yaptıkları ve bu yolla 2092 site kullanıcısının hesaplarının şifrelerini doğruladıklarının tespit edildiği,
  • İhlalden etkilenen kişisel verilerin müşterilere ait ad, soyad, cep telefonu numarası, e-posta adresi, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgileri olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/421 sayılı Kararı ile;

  • İhlalin 04.03.2020 tarihinde meydana geldiği, anılan kişi veya kişilerin ellerindeki elektronik posta şifre bilgilerini 14.000'den fazla IP'den bağlantı kurarak sitede denedikleri ve her denemeden sonra başka bir e-posta/şifre denemesi yaptıkları,
  • Veri sorumlusu tarafından yapılan inceleme neticesinde bu denemelerin sonucunda 2092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığı,
  • İhlalden veri sorumlusu müşterilerine ait ad-soyad, e-posta, cep telefonu, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilendiği,
  • Veri sorumlusunun kendi olağan trafiğine ek bu trafiğin veri sorumlusunca fark edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta sonucunda ihlalin tespit edilebildiği,
  • İhlali gerçekleştiren kişi ya da kişiler tarafından veri sorumlusu dışı kaynaklardan elde edildiği belirtilen 500.000’in üzerinde e-posta/şifre kombinasyonuna ilişkin denemeler yapıldığı veri sorumlusu tarafından belirtilmiş olup, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde yer alan 3.2. Kişisel Veri Güvenliğinin Takibi maddesinde veri sorumlularının sistemlerinin çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olduğu, çeşitli belirtilere rağmen bu durumun uzun süre fark edilemediği ve müdahale için geç kalınabildiği ifade edilmekte olup; hesabına giriş yapılan 2092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 210.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.05.2020: “Bir bankanın veri ihlali bildirimi”
Karar Tarihi : 07/05/2020
Karar No : 2020/359
Konu Özeti : Bir bankanın veri ihlali bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • İhlalin; KKB ekranında, Veri Sorumlusu Banka’nın eski çalışanının işin gereğinden fazla adette sorgulama yapılması ile gerçekleştiği, çalışanın ifadesine göre; T.C. kimlik numaraları Banka dışından 3. şahıs tarafından iletilip kişilerin kredi skorlarının öğrenilmek istenildiği,
  • İhlalin yıllık periyotlarla hazırlanan kontroller neticesinde veri ihlalini gerçekleştiren çalışanın işin gereğinden fazla adette sorgulama yaptığının fark edilmesi üzerine hazırlanan Teftiş Raporu ile; çalışanın KKB sorgulamalarını ilgili kişilerin gıyabında gerçekleştirdiği, KKB sorgulamalarını gerçekleştirdiği esnada cep telefonu ile ilgilendiği ve KKB sorgulamalarını yaptıktan hemen sonra bir kağıda not aldığı, bazı tarihlerde bu kağıdın fotoğrafını çektiği ve/veya cep telefonu ile yazıştığının tespit edilmesiyle anlaşıldığı,
  • İhlalin Temmuz 2018 ile Mayıs 2019 tarihleri arasında gerçekleştiği,
  • İhlalden veri sorumlusunun müşterisi olan ve müşterisi olmayan toplam 5695 kişinin etkilendiği,
  • İhlalden etkilenen kişisel verilerin, şahısların bankalardan kullanmış oldukları tüm kredili ürünlere ilişkin geçmişleri, ödeme performansları ve borç rakamları, adres, telefon vb. olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/359 sayılı Kararı ile;

  • 7305 adet KKB sorgulaması yapıldığı, bu sorgularda 5889 adet TC kimlik numarası sorguladığı, (mükerrer olanlar elendikten sonra 5695) bu TC kimlik numaralarının 3038’inin Banka müşterilerine ait olduğu, 2851’inin Banka müşterisi olmadığı,
  • Veri ihlalinin Temmuz 2018 ile Mayıs 2019 arasında gerçekleştiği, ihlalin anlaşılmasını sağlayan KKB sorgulama sayısının tespit edilmesine yönelik kontrolün yıllık periyotlarla yapılıyor olması nedeniyle ihlalin 1 yıla yakın süre boyunca devam ettiği ve ancak 18 Temmuz 2019 tarihinde tespit edilebildiği hususlarının, “Kişisel Veri Güvenliği Rehberi”nin (Teknik ve İdari Tedbirler-Rehber) “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir. Bu durumun önüne geçebilmek için; a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.”, ifadelerine aykırı olarak veri sorumlusu tarafından kişisel verilerin korunmasına ilişkin kişisel veri güvenliği takibinin uygun zaman aralıklarıyla yapılmadığının göstergesi olduğu, 
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken; kullanıcı bazında log kayıtlarında yetki sınırlaması, ekranların gereksiz rollere kapatılması, kişisel verilerin korunması ile ilgili uyarı metnine yer verilmesi gibi kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının Rehber’in “Kişisel Veri İçeren Ortamların Güvenliğinin sağlanması” başlığı altında “Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.”, ifadelerine aykırı olarak ilgili teknik ve idari tedbirlerin ihlalin öncesinde yeterince alınmadığının göstergesi olduğu, 
  • Veri ihlalinden önce sorgulanabilecek kişi sayısının sınırlandırılmamış olduğu ve ancak ihlalin gerçekleşmesinden sonra 250 üzerinde sorgulama yapan kullanıcıların kamera kayıtları incelenerek veri ihlali oluşturacak bir durum olup olmadığının kontrol edildiği hususunun,  Rehber’in “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; - Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, - Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, - Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.”, ifadelerine aykırı sorgulamada sınırlama (kota) bulunmamasından kaynaklandığı, 
  • Veri sorumlusuna ait çalışanlar için veri güvenliği ve Kişisel Verilerin Korunması Kanunu konusunda belli aralıklarla eğitim ve farkındalık çalışmalarının yapıldığı, çalışanların %86’sının konuyla ilgili bilgilendirme eğitimini tamamladığı, kalan kişilere ise eğitimin tekrar iletildiği ifade edildiği ancak bu hususta tevsik edici belge gönderilmediği hususlarının, Kişisel Verilerin Korunması Kanununun 2016 yılında kabul edildiği, Rehber’in 2018 yılının ocak ayında yayımlanmış olduğu ve “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.”, ifadelerine aykırı olarak gerçekleşen çalışanlara eğitim verilmesinin halen sağlanmadığı

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL,

  • 18.07.2019 tarihinde tespit edilmiş olan ihlalin 31.07.2019 tarihinde Kurula bildirildiği, geç bildirim sebebi olarak belirtilen Teftiş Raporunda yer alan bilgilerin hangilerinin paylaşıldığının net olmadığının ifade edilmesi, eldeki delillerin yetersizliği, olayın mahiyetinden emin olunmaması, müşteri şikayeti olmaması, dışarıdan gelen T.C. Kimlik numaralarına istinaden bu durumun ortaya çıkması gibi sebeplerle, bildirim gerekip gerekmediğinin kurum içinde değerlendirilmesi ve tüm ilgili ünitelerden görüş alınmasından kaynaklandığı sebebinin, 24.01.2019 Tarih ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’nda yer alan “…Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına…” ifadeleri göz önünde bulundurulduğunda ilgili sebeplerin Kurula geç bildirimde bulunulması için geçerli bir mazeret niteliği taşımadığı,
  • Veri ihlalinden etkilenen 5695 kişi arasında sadece Bankada iletişim bilgileri bulunanlara veri ihlal bildiriminde bulunulduğu, bu kapsamda ilgili kişilerin tamamına bildirimde bulunmak adına makul çaba sarf edilmediği ve Kurumumuz tarafından talep edilmesine rağmen ihlalin bildirildiği kişi sayısının ve bu kişilerin Banka müşterisi olup olmadığına hususlarına dair Kurumumuza bilgi verilmediği

hususları dikkate alındığında; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL 

olmak üzere toplam 450.000 TL idari para cezası uygulanmasına

karar verilmiştir.

05.05.2020: “Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında”
Karar Tarihi : 05/05/2020
Karar No : 2020/345
Konu Özeti : Bilgisayar oyunları alanında faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • Yapılan rutin güvenlik denetimi sırasında eski bir veri sorumlusu çalışanı (web geliştiricisi) tarafından içerisinde kaynak kod ile veri dosyaları içeren bir klasörün yetkisiz olarak github.com internet sitesine yüklendiğinin tespit edildiği ve konu hakkında inceleme başlatıldığı, 
  • Yapılan incelemede klasör içerisinde yer alan birçok dosyada veri sorumlusu kullanıcılarının bir alt kümesinin kimliğini belirli kılabilecek bilgilerin bulunabileceği tespit edilmiş olsa da, bu verilerin büyük bir kısmının veri sorumlusu hizmetlerinden men edilmiş sahte(bot) hesaplara ait olduğunun görüldüğü,
  • İncelemenin detaylandırılmasından sonra 12 Ocak 2019 tarihinde verilerin hem sahte(bot) hesaplara hem de Türkiye’de mukim kullanıcılara ait gerçek hesapların birleşiminden oluştuğunun kesinleştiği, 
  • Yapılan çalışmalar sonucunda bilindiği kadarıyla söz konusu verilerin github’dan kaldırıldığı veya kamu erişimine kapalı hale getirildiği, 
  • İhlalden etkilenen kişi sayısının 62 olduğu,
  • İhlalden kullanıcılar, müşteriler ve potansiyel müşteriler ile çocukların etkilendiği, ihlalden etkilenenlerin tamamına yakınının yetişkin olmakla birlikte az sayıda çocuğun da içlerinde yer aldığı,
  • İhlalden etkilenen kişisel verilerin kimlik(doğum tarihi), iletişim(e-posta adresi), lokasyon(internet hizmet sağlayıcı ve kullanıcı kayıt tarihi ve saati) gibi bilgilerin olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 05/05/2020 tarih ve 2020/345 sayılı Kararı ile;

  • Veri ihlalinin, veri sorumlusu ve eski bir çalışanı ile iş ilişkisinin sonlanmasının akabinde, bu kişinin yetkisiz bir biçimde kişinin işinin ürünü olan kaynak kodu ve veri dosyalarını içeren klasörü github.com’a (GitHub) yüklemesi ile gerçekleştiği, eski çalışanın kaynak kodları da github.com internet sitesine yüklemiş olmasının bir güvenlik açığı olduğu, bu kaynak kodların yetkisiz üçüncü kişiler tarafından analiz edilerek başka güvenlik açıklıklarına sebebiyet verebileceği dikkate alındığında kişisel veri güvenliği noktasında veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin yeterince alınmamış olduğunun ve Kişisel Verileri Koruma Kurumunca yayınlanan Kişisel Veri Güvenliği Rehberinin(Teknik ve İdari Tedbirler) 2.2. numaralı “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır. Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.” şeklinde açıklanan hususlara uygun davranmadığının göstergesi olduğu,  
  • İhlalin gerçekleşme tarihinin 19.04.2017, tespit tarihinin 09.01.2019, Kuruma bildirim tarihinin ise 28.02.2019 tarihi olduğu, aradan 2 yıla yakın süre geçtikten sonra 09.01.2019 tarihinde ihlalin tespit edilmesinin güvenlik kontrollerinin düzenli olarak yapılmadığının, dolayısıyla kişisel veri güvenliği takibi açısından veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu,
  • Personele veri sorumlusunun çok sayıda politikasının imzalatıldığının veri sorumlusu tarafından beyan edilmiş olmasına rağmen söz konusu çalışanın kişisel verileri de içeren dosyaları kendi taşınabilir depolama aygıtına kopyalamasının politikaların etkin şekilde uygulanmadığı ve farkındalık konusunda yeterli etkiyi sağlamadığının göstergesi olduğu

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL,

  • 19.04.2017’de gerçekleşen veri ihlalinin 09.01.2019 tarihinde tespit edildiği, Kuruma 28.02.2019 tarihinde bildirim yapıldığı hususları dikkate alındığında, veri sorumlusunun Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL 

olmak üzere toplam 130.000 TL idari para cezası uygulanmasına

karar verilmiştir.

20.01.2020: “Bir perakende giyim firmasının veri ihlal bildirimi”
Karar Tarihi : 20/01/2020
Karar No : 2020/50
Konu Özeti : Bir perakende giyim firmasının kişisel veri ihlali bildirimi

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
  • Kurumumuza veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik olarak silinmiş olduğuna dair teyit aldığı,
  • İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiğinin öğrenildiği (Türkiye'deki ilgili kişilerin bu yedi adet URL'den iki tanesinde gerçekleşen hatadan etkilendiği), 
  • İhlalden etkilenen ilgili kişi sayısının 44 olduğu,
  • İhlalden etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler olduğu,
  • Şirketin Kurumumuzu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği,
  • İlgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/01/2020 tarih ve 2020/50 sayılı Kararı ile;

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,

  • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı 

dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

20.05.2021: “Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağladığı Hk.”
Karar Tarihi : 20/05/2021
Karar No : 2021/511-512-513
Konu Özeti : Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağlaması ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması.

Adalet Bakanlığı ve bir avukat hakkında Kuruma intikal ettirilen ihbarlarda özetle; alacaklı vekili avukatların, icra tevzi bürolarına başvuruda bulunup borçluların alacaklı olduğu icra takip dosyalarının bilgilerini haksız bir şekilde elde ettiği, ayrıca avukatların bu sayede, icra dairesinde diledikleri dosyaları da inceleyebildiği, her ne kadar avukatın dosyanın bir örneğini alması vekâlet sunmasına bağlı olsa da kişisel verilere yetkisiz kişilerin erişiminin engellenmesinin veri sorumlularına verilen görevlerden biri olduğu ve avukatlar ya da görevlendirdikleri kişiler tarafından, icra tevzi bürosu yetkilileri ve memurları aracılığıyla; borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak ele geçirilmesi ile avukatların icra dairelerindeki diledikleri dosyaları vekâletname olmaksızın incelemelerinin 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık teşkil ettiği belirtilerek; bu kapsamda icra tevzi bürosu çalışanları tarafından yapılan aktarımların ve avukatlar tarafından vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere erişimin 6698 sayılı Kanuna aykırı olduğunun tespit edilmesi, bu durumun düzeltilmesi için Adalet Bakanlığı nezdinde ivedilikle girişimlerde bulunulması ve gerekli idari yaptırımların uygulanması talep edilmiştir. Yapılan ihbarlara binaen Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu Adalet Bakanlığından konuya ilişkin bilgi ve belge talep edilmiş olup, alınan cevabi yazıda özetle;

  • İlgili mevzuat ve içtihat çerçevesinde, alacağını tahsil etmek isteyen alacaklı veya vekilinin takibin kesinleşmesini müteakip borçlunun alacaklı olduğu dosyalar da dâhil olmak üzere borçlunun her türlü mal varlığını, hak ve alacağını sorgulama hakkının 2004 sayılı İcra ve İflas Kanunundan kaynaklandığının anlaşıldığı;
  • Ayrıca avukatın veya stajyerlerinin dava takip dosyalarını vekâletname olmaksızın inceleme isteğinin ilgililerce yerine getirilmesinin 1136 sayılı Avukatlık Kanununda düzenlendiği; bu kapsamda avukatların ve stajyerlerinin alacağın tahsilini teminen borçlunun alacaklı olduğu dosyaları sorgulama ve kendilerine tanınan dosya inceleme hakkını icra dairelerinde tespit amacıyla bu işle görevlendirilen icra tevzi büroları vasıtası ile yapmasının uygun olacağının, icra dairesinde görevli personelin de vekâletname ibraz etmeksizin dosya incelemek isteyen avukat ve stajyerlerine bu isteklerini yerine getirmelerinin fotokopi ve benzeri yollarla örnek almamaları kaydı ile zorunlu olduğunun değerlendirildiği;
  • Bu itibarla avukat veya stajyerlerinin müvekkillerinin alacağına kavuşmasını sağlamak için borçluların alacaklı olduğu dosyaları tespit etmesi ve tespit ettiği dosyaları incelemesi hususunun kanunlarda açıkça öngörülmesi ve yukarıda izah edilen nedenlerle 6698 sayılı Kanuna aykırılık kapsamında bulunmayacağının değerlendirildiği

ifade edilmiştir.

Yine, başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup, alınan cevabi yazıda özetle; Avukatlık Kanununun 46 ncı maddesinin 2 inci fıkrasında yer alan “Avukat veya stajyer, vekaletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin ilgililerce yerine getirilmesi zorunludur.” hükmü sınırları kapsamında borçlunun alacaklı olduğu dosyaların tespit edildiği, bu dosyalara borçlunun alacaklı olduğu icra dosyalarından talepte bulunmak ve ilgili icra müdüründen karar aldırmak suretiyle haciz işlemi yapıldığı; bunun göreviyle ilgili bir iş olduğu; bu işlemlerin yapılmaması halinde işini gereği gibi yapmadığı için müvekkiline karşı sorumluluğun dahi gündeme geleceği ve bu kapsamda tüm işlemlerin yasalar çerçevesinde yürütüldüğü ifade edilmiştir.

İhbar başvuruları ile veri sorumlularından alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kurulun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Kararları ile

  • 2004 sayılı İcra ve İflas Kanununun “Taşınır ve taşınmaz malların haczi” başlıklı 85 inci maddesinin birinci fıkrasının “Borçlunun kendi yedinde veya üçüncü şahısta olan taşınır mallariyle taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur. ” hükmünü amir olduğu; hükümde haciz yoluyla takip kapsamında borçlunun taşınır ve taşınmaz malları ile alacak ve haklarına haciz konulabileceğinin öngörüldüğü ve bu kapsamda, borçlunun alacaklı olduğu icra dosyalarına konu alacaklara da haciz konulmasının mümkün olduğu;
  • Diğer taraftan, 1136 sayılı Avukatlık Kanununun 46 ncı maddesinin,

“İşlerin stajiyer veya sekreterle takibi, dava dosyalarının incelenmesi ve dosyadan örnek alma:

Madde 46 – (Değişik : 2/5/2001 - 4667/32 md.)

Avukat, işlerini kendi sorumluluğu altındaki stajyeri veya yanında çalışan sekreteri eliyle de takip ettirebilir, fotokopi veya benzeri yollarla örnek aldırabilir. Avukatın onanmasını istemediği örnekler harca tabi değildir.

Avukat veya stajyer, vekaletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin ilgililerce yerine getirilmesi zorunludur. Vekaletname ibraz etmeyen avukata dosyadaki kağıt veya belgelerin örneği veya fotokopisi verilmez.” hükmünü,

2 nci maddesinin üçüncü fıkrasının ise,

“Avukatlığın amacı:

Madde 2 – (Değişik birinci fıkra : 2/5/2001 - 4667/2 md.) …

(Değişik üçüncü fıkra: 2/5/2001 - 4667/2 md.) Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.” hükmünü amir olduğu;

  • Anılan hükümlerden avukatların vekâletname sunmasına gerek olmaksızın icra takip dosyalarını inceleyebileceğinin ve ilgili makamların da avukatlara bu konuda gerekli imkanları sağlamakla yükümlü kılındığının anlaşıldığı;
  • Bununla birlikte, 2004 sayılı İcra ve İflas Kanununun 8/a maddesinin altıncı fıkrası ile 22.07.2020 tarihli ve 7251 sayılı Kanunla değişik 78 nci maddesinin birinci fıkrasının;

“Elektronik işlemler:

Madde 8/a – (Ek: 2/7/2012-6352/3 md.)

(Ek fıkra:6/12/2018-7155/10 md.) Alacaklı, Ulusal Yargı Ağı Bilişim Sistemi üzerinden bu sisteme entegre bilişim sistemleri vasıtasıyla dosya safahat bilgileri ile borçlunun mal, hak veya alacağını elli kuruş karşılığında sorgulayabilir. Bu miktar her yıl, bir önceki yıla ilişkin olarak 4/1/1961 tarihli ve 213 sayılı Vergi Usul Kanununun mükerrer 298 inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılır. Adalet Bakanlığı yeniden değerleme oranında artırılan ücreti beş katına kadar artırmaya ve azaltmaya ayrıca gün ve dosya esaslı olmak üzere belirli sayıdaki sorgulamayı ücretten istisna tutmaya yetkilidir. Genel yönetim kapsamındaki kamu idarelerinden bu ücret alınmayacağı gibi alacaklının bir gün içinde aynı dosya üzerinden beş kez yapacağı sorgudan da ücret alınmaz. Bu kapsamda alınacak ücret Adalet Bakanlığının belirleyeceği usule göre tahsil edilir ve takip gideri olarak borçluya yüklenemez.

II. HACİZ

Haciz:

1 – Talep Müddeti

Madde 78 – (Değişik: 3/7/1940-3890/1 md.)

(Değişik birinci fıkra:22/7/2020-7251/49 md.) Ödeme emrindeki müddet geçtikten ve borçlu itiraz etmiş ise itirazı kaldırıldıktan sonra mal beyanını beklemeksizin alacaklı, haciz konmasını isteyebilir. Ancak, alacaklı dilerse haciz talebinde bulunmaksızın Ulusal Yargı Ağı Bilişim Sistemi üzerinden, bu sisteme entegre bilişim sistemleri vasıtasıyla borçlunun mal, hak veya alacağını sorgulayabilir. Sorgulama sonunda Ulusal Yargı Ağı Bilişim Sistemi, varsa borçlunun mal, hak veya alacağının mahiyeti ve detayı hakkında bilgi verir ve bu durumda sistem üzerinden de haciz talep edilebilir. Bu takdirde icra dairesi, tespit edilen mal, hak veya alacağı elektronik ortamda haczeder. Sorgulama sonunda edinilen bilgiler hukuka aykırı olarak paylaşılamaz. Sorgulama ve haciz işlemlerinin yürütülebilmesi için kamu kurum veya kuruluşları ile 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 3 üncü maddesinde tanımlanan kredi kuruluşları ve finansal kuruluşlar, Ulusal Yargı Ağı Bilişim Sistemi ile kendi sistemleri arasında entegrasyonu sağlar. Sorgulamanın tür, kapsam ve sınırı ile diğer hususlar Adalet Bakanlığınca yürürlüğe konulan yönetmelikle belirlenir.””

şeklinde olduğu;

  • Söz konusu hükümler uyarınca alacaklı vekili avukatların, Ulusal Yargı Ağı Bilişim Sistemi üzerinden borçlunun alacaklı olduğu icra dosyaları dahil olmak üzere mal, hak veya alacağı hakkında sorgulama yapabileceği;

değerlendirmelerinden hareketle;

  • 2004 sayılı İcra ve İflas Kanununun 85 inci maddesi çerçevesinde borçlunun kendi veya üçüncü kişi nezdindeki alacaklarına haciz konulabileceği, 2004 sayılı Kanunun 8/a ve 78 nci maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla alacaklı tarafından borçluların mal, hak veya alacaklarının sorgulanabileceği, avukatların müvekkillerinin alacağını tahsil etmek amacıyla 1136 sayılı Avukatlık Kanununun 46 ncı maddesi uyarınca dava ve icra takibi dosyalarını vekâletname sunmaksızın inceleyebileceği ve bu kapsamda 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde düzenlenmiş işlemenin “kanunlarda açıkça öngörülmesi” şartına dayanılarak alacaklı vekili avukatlar tarafından borçlunun alacaklı olduğu icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden avukatların vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim sağladığı iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • 1136 sayılı Avukatlık Kanununun 2 nci maddesinde ilgili makamların avukatların görevlerini yapmak üzere ihtiyaç duyduğu bilgi ve belgeleri avukatların incelemesine sunmakla yükümlü olduğunun düzenleme altına alındığı ve bu kapsamda 6698 sayılı Kanunun 8 inci maddesinin üçüncü fıkrasında düzenlenmiş “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi uyarınca Adalet Bakanlığı tarafından icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu icra dosyaları hakkında bilgi ve belge sağlama amacıyla avukatlara görevlerini yerine getirebilmeleri için kişisel veri aktarımı yapılabileceğinden Adalet Bakanlığı tarafından alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılması iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

05.12.2020: “Bir ilaç şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 15/12/2020
Karar No : 2020/957
Konu Özeti : Bir ilaç şirketinin veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin e-posta yoluyla bildirilmesinde sistemsel bir hata meydana gelmesi ile oluştuğu,
  • Sistem tarafından otomatik olarak oluşturulan ve güncel maaş bordrolarını içeren e-postalarda meydana gelen hata nedeniyle, 337 çalışanın bordrosunun yanlış çalışanlara gönderildiği,
  • İhlalin yanlış bordro giden bir çalışanın e-posta yoluyla İnsan Kaynakları Departmanına bilgi vermesi sonucu anlaşıldığı,
  • İhlalin 27.11.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği, 
  • Teknik eşleştirme hatası nedeniyle çalışanın aylık bordrosuna, başka bir çalışan tarafından erişilebilmesinin mümkün olduğu,
  • Bordroların, çalışanın o ayki maaş bilgisi ve ad- soyad, banka hesap numarası ve T.C. kimlik numarası gibi kişisel veriler içerdiği,
  • İhlalden etkilenen kişi sayısının 337; kayıt sayısının 1348 olduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 15/12/2020 tarih ve 2020/957 sayılı Kararı ile;

  • İhlalin, gerçekleşmesinden 13 dakika sonra tespit edildiği, gerçekleşmesinden 2 saat sonra ise sonlandırıldığı,
  • İhlalin, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde oluştuğu,
  • İhlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük olduğu,
  • İhlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı,
  • İhlale sebep olan konuda ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı

dikkate alındığında Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına,

  • İhlalin tespit tarihinden sonra 72 saat içinde Kurula bildirilmemiş olduğu dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en kısa sürede ilgilisine ve Kurula, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda daha dikkatli olunması, ayrıca ilgili kişilere bildirim yapıldığına ve e-postanın gönderildiği kişilere e-postanın silinmesi yönünde uyarının yapıldığına ilişkin tevsik edici belgelerin Kurumumuza gönderilmesi hususlarında veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

08.12.2020: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 08/12/2020
Karar No : 2020/935
Konu Özeti : Bir sigorta şirketinin kişisel veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (Çağrı Merkezi) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği,
  • Dolayısıyla gerçek kişiye ait sağlık verisinin, konunun tarafı olmayan başka bir müşteri ile paylaşıldığı,
  • Veri Kaybı Önleme Sistemi (DLP) düzenli kontrolleri sırasında, sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği ve ilgili birimlere aksiyon alınması için iletildiği,
  • Veri ihlalinden kimlik, iletişim ve sağlık kategorilerindeki kişisel verilerin etkilendiği,
  • Sehven iletilen poliçe muafiyet bildiriminde, ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği,
  • Bu rahatsızlıkların poliçe muafiyetinin, ilgili kişinin bu rahatsızlıklara sahip olması veya sahip olduğu şüphesi olması sebebiyle yazıldığından, ilgili kişinin sağlık verisinin işlendiği,
  • Veri ihlalinden veri sorumlusu müşterisi olan 1 kişinin etkilendiği,
  • Veri sorumlusunun Müşteri İletişim Merkezi çalışanlarının müşteriyle direkt temasta olduklarından dolayı düzenli eğitimlere tabi olduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 08/12/2020 tarih ve 2020/935 sayılı sayılı Kararı ile;

  • İhlalden 1 kişinin etkilendiği,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve sağlık bilgileri olduğu,
  • Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) Kurumumuza veri ihlalini bildirme yükümlülüğünü yerine getirdiği,
  • İlgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtildiği

hususları dikkate alındığında veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 inci maddesi kapsamında bu aşamada yapılacak bir işlem bulunmadığına, öte yandan veri sorumlusu tarafından ilgili kişiye bildirim yapılması ve söz konusu bildirimin yapıldığı ile bahse konu verilerin sehven gönderilen müşteri nezdinde silindiğine dair tevsik edici belgelerin Kurumuza iletilmesi hususunda talimatlandırılmasına karar verilmiştir.

22.10.2020: “Bir teknoloji şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 22/10/2020
Karar No : 2020/816
Konu Özeti : Bir teknoloji şirketinin veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin, mağazada yapılan bir alışveriş sonrasında adına e-fatura düzenlenen müşterinin sistemde kayıtlı e-posta adresine ilgili faturanın gönderilmesi neticesinde bu faturanın aynı ad ve soyada sahip farklı bir müşteriye ulaşması neticesinde gerçekleştiği,
  • CRM sistemi üzerinde adına fatura düzenlenen müşterinin telefon numarasının aynı ad ve soyada sahip iki farklı müşteri adına oluşturulduğu ve kayıtlarda her ikisinde de yer aldığı,
  • Bu durumun kişilerin GSM-1 ve GSM-2 olarak oluşturulan kayıtları arasına aynı telefon numarasının bir müşteri için GSM-1, diğer müşteri için GSM-2 olarak kaydedilmiş olması nedeniyle fatura gönderiminde hatalı e-posta adresine ulaşılması nedeniyle meydana geldiği,
  • 15.10.2020 tarihinde kişisel verileri ihlal edilen müşteri ile aynı ad ve soyada sahip müşterinin müşteri hizmetlerini arayarak kendisine iletilmiş olan e-mailde yer alan faturanın kendisine ait olmadığı bilgisini vermesi üzerine sistem üzerinden kontroller gerçekleştirilerek ihlalin tespit edildiği,
  • Kayıtlarda meydana gelen karışıklığın mağazadaki kayıt aşamasında hatalı bilgi girişinden mi yoksa CRM sistemindeki veri tekilleştirme özelliğinden mi kaynaklandığına ilişkin araştırmaların sürdüğü,
  • İhlalin hemen ardından müşteri kayıtlarının sistem üzerinden düzeltildiği, hatalı faturanın diğer müşteriden geri alınmasının sağlandığı ve doğru bilgilerle doğru kişiye fatura düzenlendiği,  
  • İhlalden etkilenen kişisel verilerin; müşterinin adı soyadı, T.C. Kimlik Numarası, cep telefonu numarası ve fatura bilgileri olduğu,
  • İhlal edilen kişisel verilerin olumsuz etki doğurması yüksek olmayan kişisel veriler olduğu ve aynı zamanda ihlalin etkisinin azaltılması amacıyla ilgili kişiye bildirim yapılması ve sehven gönderilen e-postanın silinmesi gibi gerekli işlemlerin gerçekleştirildiği,
  • İhlalin 15.10.2020 tarihinde gerçekleştiği ve 16.10.2020 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi sayısının 1;  kayıt sayısının 4 olduğu,
  • İlgili kişiye telefon görüşmesi ile bildirim yapıldığı

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 22/10/2020 tarih ve 2020/816 sayılı Kararı ile;

  • İhlalden 1 kişiye ait kişisel verilerin etkilendiği,
  • İlgili kişiye telefon yoluyla bildirim yapıldığı,
  • İhlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının düşük olduğu,
  • İhlale konu e-postanın silinmesinin sağlandığı,
  • Veri sorumlusunun ihlale kısa zamanda müdahale ettiği

hususları dikkate alındığında, bu aşamada veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

17.09.2020: “Bir e-ticaret şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 17/09/2020
Karar No : 2020/715
Konu Özeti : Bir e-ticaret şirketinin veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin, kaynağı ve zamanı tahmin edilemeyen şekilde internet üzerinde ifşa olmuş kullanıcı e-posta adresleri ve şifrelerinin, veri sorumlusunun internet sitesinin giriş ekranında, robot bir uygulama vasıtasıyla denenmesi şeklinde gerçekleştiği,
  • İhlalin, veri sorumlusunun bilgi güvenliği ekibi tarafından, olayın gerçekleştiği gecenin sabahı, mesai başlangıcında yapılan rutin kontroller sırasında tespit edildiği, müteakiben vaka hakkında detaylı araştırma başlatıldığı, 
  • İhlalden etkilenen kişi ve kayıt sayısının 832 olduğu,
  • İhlalle ilişkili 832 hesabın kullanıcısına e-posta aracılığıyla bildirimde bulunulduğu, bildirimlerin, olaya ilişkin inceleme ve tespitler tamamlandıktan sonra derhal yapıldığı, 
  • İhlale konu olan platformun işleyişi kapsamında, giriş yapmak isteyen kullanıcıların e-posta ve şifrelerini girerek ilk olarak ana ekrana, bu ana ekranı geçtikten sonra da üyelik hesaplarının bulunduğu ekranlara ulaşabildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Kararı ile;

  • Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik, iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu,
  • Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, bahsi geçen sınırlandırma tedbirini önceden almış olması halinde internet ortamında sıkça rastlanan saldırı neticesinde ihlalin gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği, bunun da veri sorumlusunun veri ihlali öncesinde veri güvenliğini sağlamaya yönelik alması gereken teknik tedbirleri yeterli ve gerekli düzeyde almadığının göstergesi olduğu,
  • İhlalden 832 kişiye ait e-posta adresi ve şifre bilgilerinin etkilenmiş olduğunun beyan edildiği,
  • Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığı,
  • “Web uygulaması güvenlik duvarı” [WAF (Web Application Firewall)] üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra alındığı, 
  • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da bahsi geçen internet sitesinin kullanım düzeyi ve içerisinde yer alan kişisel veriler düşünüldüğünde veri sorumlusunun ilgili tedbirleri almamasının ihlal sonucunda potansiyel tehdit açısından ciddi bir risk taşıdığı

değerlendirmelerinden hareketle; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına,

  • İhlalin 17.12.2019 tarihinde gerçekleştiği, 17.12.2019 tarihinde tespit edildiği ve 20.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kanunun 12 inci maddesinin (5) numaralı fıkrası kapsamında Kurulun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunduğu, öte yandan veri sorumlusu tarafından ilgili kişilere bildirim yapıldığı 

dikkate alındığında, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

22.07.2020: “Bir oyuncak perakendecisi veri sorumlusunun veri ihlal bildirimi hakkında”
Karar Tarihi : 22/07/2020
Karar No : 2020/567
Konu Özeti : Bir oyuncak şirketinin veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Kötü niyetli kullanıcılar tarafından, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan “Üye Girişi” sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle meydana geldiği,
  • İhlalden etkilenen kişisel verilerin 29 müşteriye ait ad, soyad, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisinde daha önce satın alınan ürün bilgilerinin olduğu,
  • Markaya ilişkin kurulmuş olan uyarılar doğrultusunda herhangi bir sitede markanın kullanılması halinde, Şirketin Bilgi İşlem Departmanına bir bildirim düştüğü ve bu bildirim ile adı geçen siteye yönlendirme yapılmakta olduğu,
  • Şirkete ulaşan bir bildirim doğrultusunda bir internet sitesinde, veri sorumlusunun markasına ait 29 adet hesap ile ilgili bir içerikle karşılaşıldığı,
  • Söz konusu içeriğe erişimin, ancak ilgili siteye üye olunduğu takdirde sağlanabildiği,
  • Söz konusu internet sitesi yöneticilerine bir ihtar gönderilerek internet sitesinde yer alan ihlale konu sayfanın kaldırılmasının sağlandığı 

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/567 sayılı Kararı ile;

  • Kişisel hesaplara erişim hususunda veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerekmekte olup veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini (SMS/Captcha) veri ihlali sonrasında yayına almayı planladığı dikkate alındığında veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığı,
  • İhlalden etkilenen ilgili kişilerin hesaplarının şifreleri incelendiğinde müşteriler tarafından kullanılan şifrelerin sadece rakamlardan ya da sadece harf dizilerinden oluşabildiği, müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı,
  • Veri sorumlusu nezdinde gerçekleşen ihlal sırasında web uygulama güvenlik duvarının (WAF) yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği dikkate alındığında veri sorumlusunun uygulama güvenliğini sağlayamadığı

hususları dikkate alındığında 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,

  • Kurulun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunmadığı; ancak yaşanan 1 günlük bir gecikmenin pandemi süreci nedeniyle makul olduğuna ve bu çerçevede veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
  • İlgili kişilere yapılan bildirimin 18/09/2019 tarih ve 2019/271 sayılı Kurul Kararının gerekliliklerini tam anlamıyla karşılamadığı dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271 sayılı Kararına uygun bir şekilde ilgili kişilere ihlale ilişkin bildirim yapması hususunda talimatlandırılmasına 

karar verilmiştir.

09.07.2020: “”Bir bankanın veri ihlal bildirimi hakkında
Karar Tarihi : 09/07/2020
Karar No : 2020/530
Konu Özeti : Bir bankanın kişisel veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bankanın denetim ekiplerinin aldıkları bir ihbar üzerine yaptığı inceleme sonucunda bir Banka personelinin, 23 adet Banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (KBB) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasında Whatsapp uygulaması aracılığıyla bir tanıdığı (3. kişi) ile paylaştığının tespit edildiği,
  • Personelin 23 Banka müşterisine ait paylaşımlardan menfaat temin ettiğine dair somut bir tespite ulaşılmadığı,
  • 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soyadı bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin ihlalden etkilendiği, özel nitelikli kişisel verilerin etkilenmediği,
  • İhlalden etkilenen ilgili kişi gruplarının müşteriler olduğu,
  • İhlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı 

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/530 sayılı Kararı ile;

  • İhlalden 19 kişinin KKB, 4 kişinin TCKN, 1 kişinin doğum tarihi, 2 kişinin hesaplarına ilişkin bilgi, 1 kişinin kredi başvurusuna ilişkin bilgi, 23 kişinin isim, soy isim bilgileri olmak üzere toplamda 23 kişiye ait kişisel verilerin etkilenmiş olduğunun belirtildiği; ancak ihlale sebebiyet veren personelin 01.01.2019-05.12.2019 tarihleri arasında 1.052 kişi için 10.529 adet KKB sorgulaması gerçekleştirdiği, 
  • Kişi sayısı göz önüne alındığında Kurumumuza gönderilen ekran görüntülerinde yer alan 23 kişiden daha fazla kişinin etkilenmiş olabileceği, söz konusu sorgulama miktarı ile aynı bölgede yer alan diğer personeller içerisinde kişinin 1. sırada olduğu, personelin bu husus ile ilgili makul bir açıklamasının olmadığı, veri sorumlusu tarafından da personelin müşterilere ilişkin bilgileri Banka dışına sızdırmış olabileceği yönünde şüphe oluştuğu, 
  • İhlal öncesinde veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı,
  • İhlale sebebiyet veren kişinin bölge ortalamasından oldukça yüksek miktarda sorgulama yapması hususunun incelenmemesi ve durumun ihlalin başlangıç tarihinden yaklaşık 1 yıl sonra ihbar sonucu öğrenildiği göz önüne alındığında yeterince denetim ve gözetim yapılmadığı,
  • Veri sorumlusunca gerçekleştirilen “Kişisel Verilerin Korunması Kanunu Eğitimi”nin yeterli olmadığı 

kanaatine varıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezasının uygulanmasına karar verilmiştir.

07.05.2020: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 07/05/2020
Karar No : 2020/357
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusunun Çağrı Merkezi Birimi tarafından Teftiş Kuruluna; Çağrı Merkezi Satış Temsilcisi olarak dış kaynak sözleşmesi çerçevesinde çalışmakta olan bir çalışanın veri sorumlusunun ana sigortacılık (Cool:Gen) ekranları vasıtasıyla müşterilerin poliçe bilgilerini, portföy takibi için kullandığı yönündeki tereddütlerin iletilmesi üzerine, Teftiş Kurulu Başkanlığınca inceleme yapılmasına karar verilmiş olduğu, bu çalışma çerçevesinde elde edilen bulgular neticesinde ihlalin gerçekleştiğinin anlaşıldığı,
  • Veri sorumlusunun yapmış olduğu Teftiş Kurulu incelemesi neticesinde; sistemlerinde tutulmakta olan isim-soyisim, iletişim, plaka bilgilerinin yer aldığı listeyi taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine 22.10.2019 ve 24.10.2019 tarihlerinde göndermesi sonucu veri ihlali gerçekleştiğinin tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının 91 olduğu, 
  • İhlalden etkilenen kişisel veri kategorilerinin müşterilere ait kimlik, iletişim ve risk yönetimi bilgisi (poliçe süreçleri kapsamında elde edilen plaka bilgisi) olduğu,
  • Veri sorumlusu nezdinde kullanılan veri sızıntısı önleme uygulamasının, belirli anahtar kelimeleri yakalamak üzere kurgulandığı ancak veri sızıntısına konu olan ihlal, bu anahtar kelimeleri içermediğinden herhangi bir uyarının oluşmadığı,
  • Veri ihlal bildiriminin yapıldığı tarih itibariyle ihlal ile ilgili olan çalışanların tamamının kişisel veri koruma eğitimi almadığı, ancak çalışan/taşeron çalışan sayısının fazla olması ve şirketin iş faaliyetlerindeki yoğunluk nedeniyle ve ilgili eğitimler kapsamında azami faydayı sağlayabilmek adına eğitimlerin tek bir seferde tüm çalışanlara bir arada değil de farklı gruplar halinde verilecek şekilde planlandığı, bu nedenle, ilgili sürecin veri sorumlusu çalışanlarının %92’si için tamamlanmış olduğu ve geriye kalan %8 için devam etmekte olduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 07/05/2020 tarih ve 2020/357 sayılı Kararı ile;

  • Veri sorumlusunun sisteminde tutulmakta olan 91 müşteriye ait isim-soyisim, iletişim, plaka bilgilerinin yer aldığı listeyi taşeron çalışanın kendisine atanan kurum e-posta adresinden şahsi e-posta adresine 22.10.2019 ve 24.10.2019 tarihlerinde göndermesi sonucu veri ihlali gerçekleştiği,
  • İhlal kapsamında etkilenen kişisel verilerin veri sızıntısı önleme uygulamasında yakalanmak üzere kurgulanmadığı ve bu sebeple ihlale konu olan e-posta iletiminin anahtar kelimeleri içermediğinden herhangi bir uyarının oluşmadığı, ihlal konusu olan kişisel verilerin veri sızıntısı önleme uygulamasında tanımlanabilir kişisel veriler olduğu dikkate alındığında bu durumun kişisel veri güvenliğine ilişkin doğru ve tutarlı bir prosedürün, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmediğinin göstergesi olduğu,
  • Teftiş Kuruluna; veri sorumlusunun ana sigortacılık ekranlarını kullanarak müşterilerin poliçe bilgilerini portföy takibi için kullanıldığı yönündeki tereddütlerin iletilmesi üzerine yapılan inceleme ile veri ihlalinin, gerçekleşmesinden yaklaşık iki ay sonra ancak tespit edilebildiği ve söz konusu tereddütlerin Teftiş Kuruluna bildirilmemesi durumunda veya tereddütlerin oluşmaması durumunda veri ihlalinin tespit edilemeyeceğinin anlaşıldığı dikkate alındığında alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetiminin kurgulanmadığı ve bu nedenle veri sorumlusunun, Kurumumuzun yayınlamış olduğu “Kişisel Veri Güvenliği Rehberi”nde de belirtildiği üzere bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının takip edilmesi noktasında alınan teknik tedbirler açısından yetersiz kaldığı,
  • Veri ihlali öncesinde veri ihlali ile ilgili çalışanların tamamının kişisel veri koruma eğitimi almadığı ve ihlali gerçekleştiren çalışan için de bu eğitiminin atanmış olduğu ancak almadığı dikkate alındığında bu durumun veri sorumlusu Şirketin kişisel veri güvenliğinin sağlanması bakımından yeterli idari tedbirleri almadığının göstergesi olduğu

değerlendirmelerinden hareketle 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 90.000 TL idari para cezası uygulanmasına,

  • Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurumumuza bildirimde bulunduğu, öte yandan ilgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin Kurumumuza gönderildiği 

dikkate alındığında veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası yapılacak bir işlem bulunmadığına 

karar verilmiştir.

03.03.2020 “Bir bankanın veri ihlal bildirimi hakkında”
Karar Tarihi : 03/03/2020
Karar No : 2020/201
Konu Özeti : Bir bankanın veri ihlal bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin (e-posta ve kısa mesaj) işlem dışı ve Banka sisteminde kayıtlı diğer müşterilere gönderilmesi şeklinde gerçekleştiği,
  • İhlalin gerçekleşme şekli ve yöntemi hakkında;
    • Sehven gönderildiği belirtilen bildirimlerin, Şirketin mail ve SMS gönderimleri için kullandığı bir “iç sistem uygulaması” ile yapıldığı,
    •  “İç sistem uygulamasında” bir yazılım değişikliğine gidildiği, 
    • Ancak geliştirme hatası sebebiyle müştereklik ilişkisi dışındaki ilişki tiplerine sahip müşterilere de sehven bildirim yapıldığı, 
    • Teknik anlamda, kullanılması gereken fonksiyon ve metodun doğru kullanıldığı ancak parametrelerde yeterli kontrol konulmadığının anlaşıldığı,
    • “İç sistem uygulaması” üzerinden yapılan geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu
  • İlgili kişilere SMS ve e-posta kanalıyla bilgilendirmenin yapıldığı,
  • İhlalden etkilenen kişi sayısının 905; kayıt sayısının 1831 olduğu,
  • Etkilenen kişi kategorilerinin müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) olduğu,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/201 sayılı Kararı ile;

  • İhlalin, şirket müşterilerinin finansman taksit ödemesi tahsilatlarının gerçekleştiğine ilişkin, ilgili müşterilere gönderilmesi gereken 905 kişiye ait bildirimin (e-posta ve kısa mesaj) işlem dışı ve Banka sisteminde kayıtlı, diğer müşterilere gönderilmesi şeklinde gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik (isim-soy isim), müşteri işlem (cari hesap numarası, finansman hesap numarası, işlem tarihi) ve finans bilgileri (finansman taksit numarası, finansman taksit tutarı, finansman taksit tarihi) gibi kişisel verilerinin etkilendiği,
  • Sehven gönderildiği bildirilen bildirimlerin, veri sorumlusu mail ve SMS gönderimleri için kullandığı bir iç sistem uygulaması ile yapıldığı, ihlale konu olayda teknik anlamda, “kullanılması gereken fonksiyon ve metodun doğru kullanılmasına rağmen parametrelerde yeterli kontrol konulmadığının anlaşıldığı, ilgili geliştirmeyle faydası amaçlanan işlemin gerçekleştiği fakat tüm senaryoların öngörülemediği için amaçlanandan daha fazla müşteriye bildirim yapılmasına sebep olduğu”, bu teknik tedbir eksikliğinin de ihlale yol açtığı, bahsi geçen “Notification” uygulama sisteminin hata sonucu veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için yerleştirilen kontrol mekanizmasının yeterli düzeyde olmadığı, bu tip hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan evvel düzeltilmesi gerektiği

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezasının uygulanmasına,

  • İhlalin 05.07.2019 ile 08.07.2019 arasında gerçekleştiği, 08.07.2019 tarihinde tespit edildiği ve ihlal bildiriminin Kuruma 11.07.2019 tarihinde intikal ettiği, bu kapsamda bildirimin 72 saat içinde gönderildiği, ayrıca veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğu 

dikkate alındığında, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca yapılacak bir işlem olmadığına

karar verilmiştir.

11.02.2020: “Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında”
Karar Tarihi : 11/02/2020
Karar No : 2020/113
Konu Özeti : Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin e-ticaret sektöründe faaliyet göstermekte olduğu,
  • Veri sorumlusunun internet sitesinden ve mobil uygulaması üzerinden ticari faaliyet amacı olmayan satıcılara ikinci el ürünlerini satmaları için bir aracı hizmet sağlayıcısı olarak teknik alt yapı sunduğu,
  • Şirkete, internet sitesinin hacklendiği iddiasının iletildiği,
  • Veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlemesinin de bu sırada gerçekleşmiş olabileceği,
  • Azami 257.000 kişinin etkilenme ihtimalinin bulunduğu ancak veri sorumlusu tarafından 25 kişi dışında kimsenin veri ihlalinden etkilenmiş olduğuna dair kayıt tespit edilmediği,
  • İhlalden etkilenen ilgili kişi kategorilerinin kullanıcılar olduğu,
  • İhlalden etkilendiği belirtilen kişisel verilerin ad, soyadı, e-posta adresi, kriptolanmış kullanıcı hesabı şifreleri olduğu, 973.147 üyeye kadar olan kullanıcılardan 172.490 adedinin sisteme Facebook profili üzerinden kayıt olduğu için e-posta adreslerinin sistemde bulunmadığı, ancak veri ihlalinin gerçekleştirildiği e-posta adresi ile Şirket arasında yapılan konuşmalarda; tüm veri tabanları, kaynak kodlar, dosya ve müşteri verilerinin ele geçirildiğinin iddia edildiği,
  • İhlalden özel nitelikli kişisel verilerin etkilenmediği,
  • Kayıtlı kullanıcılara bildirimde bulunulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı sayılı Kararı ile;

Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

18.06.2019: “Bir perakende giyim firmasının veri ihlal bildirimi hakkında”
Karar Tarihi : 18/06/2019
Karar No : 2019/170
Konu Özeti : Bir perakende giyim firmasının kişisel veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun olağan bir denetimi esnasında tespit edildiği,
  • Kurumumuza veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik olarak silinmiş olduğuna dair teyit aldığı,
  • İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiğinin öğrenildiği (Türkiye'deki ilgili kişilerin bu yedi adet URL'den iki tanesinde gerçekleşen hatadan etkilendiği), 
  • İhlalden etkilenen ilgili kişi sayısının 44 olduğu,
  • İhlalden etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler olduğu,
  • Şirketin Kurumumuzu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş olabileceği,
  • İlgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 18/06/2019 tarih ve 2019/170 sayılı Kararı ile;

  • 01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık bir yıl sonra 02.07.2019 tarihinde  yapılmış olmasının, gerçekleştirilen işlemlere dair Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli testlerin yapılmadığının göstergesi olduğu

kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,

  • İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019 tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı 

dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

25.03.2021: “Bir kozmetik şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 25/03/2021
Karar No : 2021/311
Konu Özeti : Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
  • Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
  • Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,
  • Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu, 
  • Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı, 
  • Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği, 
  • Bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu,
  • Ancak bu süreçte alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

  • Kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayı belirtilemediği ve oluşan hatanın kampanya sırasında ve yoğunluğun yüksek düzeyde olduğu dakikalarda olmasından ötürü bu kişilerin kişisel verilerin çok sayıda kişi tarafından görünmüş olabileceği,
  • Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı, açıklanan bu durumların Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında belirtilen “Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.” ifadelerine uygun düşmediği, 
  • Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı
  • Yukarıda sayılan gerekçelerin veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediğinin göstergesi olduğu,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,

  • Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kuruma bildirimde bulunduğu,
  • Veri sorumlusu tarafından veri ihlaline ilişkin bildirim yapılması amacıyla ilgili kişilere e-posta gönderildiği, gönderilen e-postanın Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurları taşıdığı

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca, bu aşamada yapılacak bir işlem olmadığına 

karar verilmiştir.

04.03.2021: “Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında”
Karar Tarihi : 04/03/2021
Karar No : 2021/190
Konu Özeti : Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bir müşteri şikayeti üzerine Banka tarafından yapılan inceleme neticesinde, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini, Banka erişim ve bilgi güvenliği politikalarına, verilen sınıf içi ve çevrimiçi eğitimlere, Banka ile olan iş sözleşmelerine ve ilgili menüye erişmeden önce çıkan uyarı mesajına aykırı şekilde, söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşması suretiyle veri ihlali gerçekleştiği,
  • Söz konusu olayda Banka sistemleriyle ilgili herhangi bir güvenlik açığının bulunmadığı, ihlalin çalışanın münferit davranışlarından kaynaklı olduğu sonucuna varıldığı,
  • Veri ihlalinin, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini amacı dışında kullanmasından ve 1 (bir) müşterinin kimlik bilgilerini yetkisiz kişiyle paylaşmasından kaynaklandığı,
  • İhlal ile ilgili olan çalışanların Bilgi Güvenliği Farkındalığı Eğitimi ve Kişisel Verilerin İşlenmesi ve Korunmasında Temel Kavramlar Eğitimi aldığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Kararı ile;

  • Bulunduğu görev pozisyonundan yararlanarak olaya konu Takım Lideri’nin şikayette bulunan ilgili kişinin bilgilerine erişebildiği ve yetkisini kötüye kullanabildiği, bu durumun veri sorumlusu tarafından verilen veri gizliliği ve güvenliği eğitimlerine rağmen söz konusu çalışanın rol ve sorumlulukları hakkındaki farkındalığının sağlanamadığı göz önünde bulundurulduğunda Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemelerine aykırılık teşkil ettiği, 
  • Bankada Takım Lideri olarak çalışan personelin veri ihlali öncesinde müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yaparak görüntüleyebildikleri ve bu durumun çalışan personel tarafından müşterilerin kişisel verilerinin ihlaline sebebiyet verebilecek bir durum olduğu ve bu durumun Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” hususuna aykırılık teşkil ettiği,
  • Risk Merkezi verilerinin sorgulanmasına yönelik sorgulama yapılabilecek kayıt sayısı/kota belirleme işlemlerinin veri ihlalinden önce yapılmadığı, söz konusu ihlalden ancak yaklaşık iki yıl sonra çalışanlar için sorgulama kota limiti oluşturulduğu ve diğer müşteri sorgulamalarına kota oluşturulmasına yönelik çalışmalara halen devam edildiği,
  • Veri sorumlusu bünyesinde Çağrı Merkezi Takım Lideri olarak görev yapan çalışanların, müşterilerin rızası dışında, müşteri bilgilerine sınırsız sayıda sorgulama yaparak erişebildiği, söz konusu çalışanlar için gerekli ölçüde yetki verilmediği dikkate alındığında Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Siber Güvenliğin Sağlanması başlığı altındaki “… kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve … ilgili sistemlere erişim sağlanmalıdır.” tedbirlerine aykırılık teşkil ettiği,
  • Veri ihlali sonrasında, başka şube müşterisinin bilgilerini sorgulamak isteyen çalışanlara erişecekleri verileri iş ihtiyacı kapsamında ve görev tanımıyla uyumlu bir şekilde kullanabileceklerine dair uyarı sisteminin geliştirildiği, veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı 

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

04.03.2021: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 04/03/2021
Karar No : 2021/187
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin nasıl gerçekleştiği hakkında;
    • Bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dâhil olan çalışanlarına dair “Rapor” iletildiği,
    • Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle;
      • Sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile "Rapor" ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı,
      • Sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair "Rapor" dosyası gönderildiği,
      • "Raporu" seçen sorgunun hatalı çalışması" neticesinde, sistem kapsamında olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, yine sistem kapsamındaki 28 işveren şirkete, sistemsel olarak hatalı şekilde gönderildiği,
  • İhlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği,
  • İlgili dosyaya erişim sağlayan ve ihlali veri sorumlusuna bildiren firmanın telefon kanalı ile yapılan çağrı esnasında 19.02.2020 saat 09.55’te ihlal hakkında bilgi verdiği, 
  • Bu firmaya da ihlalden etkilenen tüm firmalara olduğu gibi bilgilendirme yapıldığı ve sehven gönderilen bilgilerin silinmesi gerektiğinin tekrarlandığı,
  • İhlale konu yazılımın canlıya alınmadan önce test edildiği,
  • İhlalden etkilenen kişisel verilerin TCKN / Mavi Kart No,  Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/187 sayılı Kararı ile;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı veri işleyende meydana gelen sistemsel bir hata sonucu sorgunun hatalı çalışması nedeniyle emeklilik hizmeti kapsamında müşteri olan 31 işveren şirketin çalışanı olan 681 ilgili kişinin kişisel verilerini yine emeklilik kapsamında müşterilere gönderdiği (müşteri olan 28 işveren şirkete gönderilmiştir),
  • Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında yer alan “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği, ihlale konu olaydan önce tespitinin yapılamadığı,
  • İhlale konu olayın gerçekleşme tarihi (18.01.2018) ile tespit tarihi (19.02.2020) arasında yaklaşık 2 yıllık bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “…raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi…” ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğu

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,

  • İhlale sebep olan sistemdeki hatanın 18.01.2018 ve 19.02.2020 tarihleri arasında gerçekleştiği, 19.02.2020 tarihinde ilgili dosyaya erişim sağlayan Şirket tarafından veri sorumlusuna bilgi verilmesi sonucu ihlalden haberdar olunduğu, 21.02.2020 tarihinde Kurumumuza e-posta yoluyla veri ihlal bildiriminde bulunulduğu, ilgili yazının Kurum kayıtlarına 24.02.2020 tarihinde girdiği, bu açıdan veri sorumlusunun Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
  • İhlalden etkilenen ilgili kişilere 28.02.2020 tarihinde e-posta olarak bildirim yapılmaya başlandığı, e-posta bilgisi olmayan kişilere arama yapıldığı, görüşme yapılan tarih ve saatler ile bilgilendirme metin örneğinin tarafımıza gönderildiği 

görülmekle birlikte, ilgili kişilere yapılacak bildirimin Kurulun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlardan ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hususlarında eksiklikler olduğu dikkate alındığında bundan sonra ilgili kişilere yapılacak bildirimlerde Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunulması hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

25.02.2021: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 25/02/2021
Karar No : 2021/154
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği,
  • İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği, 
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu,
  • İhlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
  • Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/154 sayılı Kararı ile,

  • İhlalin eski çalışanın işinden ayrıldıktan sonra çalışmaya başladığı şirketin ilgili birimleri tarafından tespit edilip veri sorumlusuna bildirdiği,  
  • İhlalden 544 müşteriye ait; kimlik, iletişim ve araç plaka numaralarının etkilendiği, 
  • DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının "Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği, 
  • Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımamasının "Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiği, 
  • İhlale konu e-posta gönderimlerinin; kasım ve  aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada;  DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği, 
  • İhlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı, bunun yanında eski çalışanın da içinde bulunduğu kullanıcılar grubuna bilgilendirmeler yapılmakla birlikte ilk bildirimde bilgilendirmede kişisel verilere ilişkin tanımlara yer verilip Kurumumuz internet sayfasında yer alan videoların bağlantısının paylaşıldığı, ikinci bilgilendirmede ise sadece ilgili kişilerin hak ve yükümlülüklerinin yer aldığı dikkate alındığında “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği  

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına 

  • İhlalin; 24.12.2019 tarihinde tespit edildiği ve 27.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı dolayısıyla Kanun kapsamında yapılacak bir işlem olmadığına,
  • Öte yandan, veri sorumlusu tarafından bundan sonra ilgili kişilere yapılacak bildirimlerin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak yapılmasına dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına 

karar verilmiştir.

29.09.2020: “Bir Bankanın veri ihlal bildirimi hakkında”
Karar Tarihi : 29/09/2020
Karar No : 2020/744
Konu Özeti : Bir bankanın veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri ihlalinin, Bankanın Veri Sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği,
  • Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği,  
  • Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, 
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu,
  • Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/744 sayılı Kararı ile,

  • İhlalden 346 Banka müşterisinin şube no, hesap no, ad-soyadı,  cep telefonu numarası ve bu müşterilerin Bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği,
  • İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu, 
  • Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirilebildiği dikkate alındığında, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; - Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, - Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, - Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.”, ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı,
  • Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346 müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve bu durumun, Kişisel Verileri Koruma Kurulu’nun 31/05/2018 tarih ve 2018/63 sayılı ilke kararında “…Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği…” ifadelerine aykırı olarak veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 225.000 TL, 

  • İlgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği,
  • Ancak, ihlalin 31.10.2019 tarihinde gerçekleştiği ve  Bankanın Teknoloji Veri Sızıntısı ekibi tarafından 04.11.2019 tarihinde Teftiş Kurulu Başkanlığı’na iletildiği, veri sorumlusunun Kurumumuza bildirimi 06.12.2019 tarihinde gerçekleştirdiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL

olmak üzere toplam 275.000 TL idari para cezası uygulanmasına

karar verilmiştir.

30.06.2020: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 30/06/2020
Karar No : 2020/511
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla toplu bir liste hazırlanması gerektiği,
  • Bu amaçla ilgili kişilerin kimlik ve ilaç kullanım bilgilerinin yer aldığı bir excel dosyasının oluşturulduğu,
  • Söz konusu dosyada yer alan bilgilerin provizyon uygulamasına kişi bazlı olarak girilir iken ilgili dosyanın aynı zamanda provizyon sistemine entegre olarak çalışan doküman yönetim sistemine excel dokümanı olarak sehven bütün halinde yüklendiği, 
  • İhlalden etkilenen kişi sayısının 683; kayıt sayısının 2413 olduğu,
  • Etkilenen kişi kategorilerinin müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik, müşteri işlem ve sağlık bilgileri olduğu,
  • İhlale konu excel dosyasına erişimin yalnızca mobil uygulamanın “sağlık geçmişim/Eczane” bölümünden 11 sağlık müşteri açısından mümkün olduğu, bunlardan yalnızca iki kişinin uygulama kullanıcısı olduğunun tespit edildiği, söz konusu dosyaya erişimin mobil uygulama üzerinden bir kişi tarafından yapıldığı, diğer kullanıcının ilgili dosyaya herhangi bir erişiminin olmadığı,
  • Diğer taraftan ilgili dosyaya erişim sağlayan kullanıcı ile irtibata geçildiği, kendisine ihlal ve sonuçlarına yönelik bilgilendirme yapıldığı, erişim sağladığı dosyanın acil olarak silinmesi konusunda talepte bulunulduğu, bu kapsamda ihlalin ilgili kişiler üzerindeki potansiyel etkilerinin oldukça sınırlı olduğunun değerlendirildiği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/511 sayılı Kararı ile,

  • İhlalin, veri sorumlusunun eczane provizyon ekranlarının değiştirilmesi esnasında, kişi bazında kimlik ve ilaç kullanım bilgilerinin yer aldığı excel dosyasının, yeni sisteme aktarılırken 11 sigortalı tarafından görüntülenebilir hale gelmesi sonucu gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik, müşteri işlem ve özel nitelikli kişisel veri olarak da sağlık bilgileri gibi kişisel verilerinin etkilendiği, 
  • 25.04.2019 tarihinden 07.12.2019 tarihine kadar açıklığın devam ettiği ve dosyaya erişim sağlayan kişi tarafından bilgilendirilinceye kadar veri sorumlusunun açıklığı tespit edemediği, Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında da belirtildiği üzere “...veri sorumlusunun hazırlanmış olan kişisel veri güvenliği politika ve prosedürleri kapsamında; uygulamanın düzenli olarak kontrollerini yapmak, yapılan kontrolleri belgelemek, geliştirilmesi gereken hususlar belirlemek ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam etmek gibi yükümlülüklerini” yerine getirmediği, 
  • Ayrıca yine Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “veri sorumlularının gizlilik ve bütünlüğü bozan ihlaller gibi istenmeyen olayların önüne geçilmesi adına veri sorumlusu tarafından düzenli olarak zaafiyet taramalarının yapılmadığının” göstergesi olduğu, Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması başlığı altında belirtilen “çalışanların sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için yeterli güvenlik tedbirinin” alınmadığı,
  • Veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almadığı, bu durumun Kişisel Veri Güvenliği Rehberi’nin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında da ifade edildiği üzere “veri sorumlusu tarafından yeni sistemin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önünde bulundurulmadığı, uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yeterli ve gerekli ölçüde yapılmadığı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmediği ve belgelerin sisteme yüklenirken bir onay sürecinin işletilmediği”, 
  • İhlalden etkilenen kişisel verilerin içinde özel nitelikli kişisel veriler olarak sağlık bilgilerinin bulunduğu, ihlale konu olan dosyanın içerisinde özel nitelikli kişisel verilerin de yer aldığı göz önünde bulundurulduğunda "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında da belirtildiği üzere “özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerekirken veri sorumlusu tarafından diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerektiğinin” göz önünde bulundurulmadığı, 
  • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da öğrenilmesi halinde ilgili kişiler hakkında mağduriyete neden olabilecek nitelikteki verilerin ihlale konu olduğu bu yüzden de ihlalin potansiyel tehdit açısından ciddi bir risk taşıdığı,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) uyarınca 100.000 TL idari para cezası uygulanmasına,

  • 07.12.2019 tarihinde tespit edilen veri ihlalinin, Kurumumuza 10.12.2019 tarihinde (72 saatlik süre koşulunun içerisinde) bildirildiği ve ihlalden etkilenen 683 kişiye yeterli bildirimin yapıldığı, bildirim örneklerinin Kurumumuza sunulduğu dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca yapılacak bir işlem bulunmadığına

karar verilmiştir.

16.06.2020: “Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında”
Karar Tarihi : 16/06/2020
Karar No : 2020/466
Konu Özeti : Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği, 
  • İhlalin; veri işleyenin verdiği şikayetçi ifade tutanağı ile anlaşıldığı, ilgili tutanağa göre; Acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği,
  • İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve 22.02.2020 tarihinde Kurumumuza bildirildiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,
  • İhlalden etkilenen kişi sayısının 172 olduğu,
  • Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Kararı ile;

  • Veri ihlalinin 13.02.2020 tarihinde veri işleyenin sistemlerine yetkisiz erişim sağlanmasıyla gerçekleştiği, ihlalin veri sorumlusu tarafından 20.02.2020 tarihinde tespit edildiği,
  • Veri sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin etmediği, vakaya konu bilgisayarın veri işleyenin kendisine ait olduğu, bu nedenle bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını belirtildiği, ayrıca; Acente Bilgi Güvenliği İlkeleri dokümanında; Acentelerin bilgi güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve gerektiği takdirde ve periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen veri işleyenin herhangi bir şekilde denetlenmemesinin, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberinin (Teknik ve İdari Tedbirler-Rehber) 2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığı altında; “…veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” ifadelerine aykırılık teşkil ettiği, 
  • Veri sorumlusu tarafından; ilgili bilgisayar hemen olayın akabinde formatlandığı için herhangi bir araştırmanın yapılamadığı, herhangi bir kişisel veriye erişilip erişilmediğinin tespit edilmediği, veri işleyenin ifadesine istinaden araç ruhsatı üzerinde bulunan kimlik bilgileri ile kredi kartı bilgileri kategorilerinin seçildiği belirtilmiş olup bu durumun Rehber’in 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında; “…Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi…” ifadelerine aykırılık teşkil ettiği, 
  • Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olduğu, Rehber’in 2.2. maddesinde; “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” ifadelerine aykırı olarak veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının yapılmasının veri sorumlusu tarafından sağlanmadığı, 
  • Veri işleyenin Windows 7 Professional x64 işletim sistemini kullandığı, Windows’un resmi sayfası üzerinden yapılan duyuruda; Windows 7 işletim sisteminin 14.01.2020 tarihinden itibaren artık yeni Microsoft Security Essentials yüklemelerini desteklememekte olduğundan tüm müşterilerin en iyi güvenlik seçeneği olan Windows 10 ve Windows Defender Virüsten Koruma'ya geçmelerini önerildiği,  Rehber’in 2.3 maddesinde; Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında; “…hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerektiği, ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta…” olduğunun belirtildiği, bahsi geçen işletim sisteminin hâlihazırda eski bir sürüm olduğu ve 14.01.2020 tarihinden itibaren güvenlik korumasıyla ilgili güncellemeleri desteklemediği hususlarının gerekli güvenlik önlemlerinin veri sorumlusu ve veri işleyen tarafından tam olarak alınmadığını gösterdiği, 
  • Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamakta olmasının Rehber’in 3.2 maddesinde “Siber Güvenliğin Sağlanması başlığı altında”; “…Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.”, 27 Nisan 2020 tarihinde veri sorumlusunun acentelerin siber saldırılardan korunmalarına yönelik yapmış olduğu duyuruda; Tüm kullanıcı bilgisayarlarına anti-virüs yazılımlar yüklenmesi ve kullanıcılar anti-virüs yazılımlarını kapatmaması veya ayarlarını değiştirmemesinin gerektiği, 01.11.2019 tarihli ve veri sorumlusunun acentelerine 21.01.2020 tarihinde duyurulan Acente Bilgi Güvenliği İlkeleri dokümanında yer alan; tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği, acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını değiştiremediği, ifadelerine aykırı olarak veri sorumlusu ve veri işleyen tarafından bahse konu güvenlik önlemlerinin yerine getirilmediği hatta veri sorumlusunun kendi hazırlamış olduğu dokümanların gereklerinin dahi sağlanmadığı 

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 172.000 TL idari para cezası uygulanmasına,

  • Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği,
  • İhlalin bildirildiği 77 kişiden 33’üne bildirimin 26.03.2020, 9’una 16.04.2020, 35’ine 20.04.2020 tarihinde yapıldığı, dolayısıyla ihlalin tespit tarihi ile bildirim tarihleri arasında 1 ayı aşkın süre bulunduğu

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (ilgili kişilere bildirim için) bildirimde bulunma yükümlülüğünün 24.01.2019 tarih 2019/10 sayılı Kararda yer verilen “ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması” şeklinde de yapılabileceği hususunun veri sorumlusuna hatırlatılmasına 

karar verilmiştir.

16.06.2020: “Bir otoyol işletmesinin veri ihlal bildirimi hakkında”
Karar Tarihi : 16/06/2020
Karar No : 2021/464
Konu Özeti : Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin; çalışanların kendi rıza ve talepleri ile yazılı ve imzalı olarak veri sorumlusuna ilettikleri kişisel e-posta adreslerinin sisteme işlenmesinden sonra bordro programı üzerinden bu hesaplara gönderilen bordrolarda, gönderilen kişilerin kendisine ait olmayan ancak aynı şirket çalışanı olan başka çalışanlara ait bordroyu ve dolayısıyla başkasına ait ad, soyad, TC Kimlik No ve sicil numarası görüntülemesi şeklinde gerçekleştiği, maaş bilgisinin ise herkeste aynı jenerik bilgisinin görüntülendiği,
  • İhlalin sistemsel bir hata sebebiyle hatalı e-posta gönderimi neticesinde meydana geldiği ve bu teknik hatanın da bordro sisteminde Türkçe dili için bir cihaz türü tanımlı olmaması nedeni ile programın bordro zarflarını anlık göndermek yerine öncelikle kuyruğa gönderip oradaki kayıtları sonrasında e-posta atmak yöntemini kullanması nedeniyle yaşandığı,
  • İhlalden etkilenen kişi ve kayıt sayısının 489 olduğu,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

  • Yapılan inceleme sürecinde, kurul kararına istinaden veri sorumlusuna gönderilen tebligatta, “…Çalışanların kendi rıza ve talepleri üzerine sundukları yazılı beyan dilekçesinde yer alan kişisel e-posta adreslerinin sisteme işlendiği ve bu kişisel e-postaların kullanıldığı, ancak neden kişisel e-posta yerine şirket e-postasına gönderim gerçekleştirilmediği…” ile ilgili bilgi istenmiştir. Bu talebe cevaben veri sorumlusu, “Şirketimiz, çalışanlarının büyük bir çoğunluğu sahada bulunan bir organizasyon yapısına sahiptir. Bu itibarla tüm çalışanlarımıza şirketimiz tarafından tanımlanmış bir e-posta hesabı bulunmadığı, keza şirket e-posta hesaplarına şirketin erişim olanağı bulunduğu da dikkate alınarak bu bildirimlerin çalışanlarımızın kişisel e-posta hesaplarına yapılmasının daha uygun olacağı değerlendirilmiştir.”  şeklinde bir geri dönüş yapılmıştır. Bu durum, çalışanlara yanlışlıkla giden bordroların silinip silinmediğinin kişisel e-posta hesaplarından (birçok e-posta sunucusu içerdiği için)  kontrol imkânı bulunmadığından ihlalin, aslında veri sorumlusunun belirttiği gibi sadece teknik aksaklık değil; söz konusu çalışanlara kurumsal e-posta hesabı açmayarak ve bu hesaplar üstünden bordro gönderimi yapmayarak ihlalin idari eksiklikten de kaynaklanmasına sebep olunduğu,
  • Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 3.2 maddesi Kişisel Veri Güvenliğinin Takibi başlığında “…Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir.” ifadesine ve 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığında “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir…” ifadesine göre ihlale konu olan riskin veri sorumlusu tarafından değerlendirilmediği,
  • Veri sorumlusu tarafından aydınlatma yükümlülüğüne uyularak ve ilgili kişilerin açık rızası alınarak e-postaların gönderildiği belirtilmekle birlikte aydınlatma metninin ilgili kişileri bu hususlara ilişkin olarak yeterince bilgilendiren bir metin olmadığı ve kişilere herhangi bir başka seçenek bırakmadığının görüldüğü,
  • 31.05.2019 tarihli ve 2019/157 sayılı Kurul Kararında de belirtildiği üzere, kurumsal e-posta hizmetinin sunucularının yurt dışında olan veri sorumlularından/veri işleyenlerden temin edilmesi durumunda saklama hizmetlerinin de 6698 sayılı Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiği, veri sorumlusu tarafından Kurumsal e-posta hizmeti alınmadan çalışanların şahsi e-posta hesaplarının çalıştıkları işlerle ilgili e-posta gönderiminde kullanılmasının verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler üzerinde kontrol kaybına neden olabileceği

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 60.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

20.04.2021: “Bir hastanenin veri ihlal bildirimi hakkında”
Karar Tarihi : 20/04/2021
Karar No : 2020/407
Konu Özeti : Bir hastanenin veri ihlali bildirimi

 

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği, 
  • İhlalden; 789 hastanın etkilendiği, 
  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,

  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği, 
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu, 
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı dikkate alındığında Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararında yer alan “Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,…gerekir.” ifadesine aykırı olarak veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu, 
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu
  • İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği hususunun Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararında yer alan “… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
  • İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra  tespit edildiği hususlarının Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi” başlığı altında yer alan “Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.” ifadelerinde yer aldığı üzere; veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı, 
  • İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin “Kişisel Veri Güvenliği Rehberi”nin “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır …” ifadelerine aykırı olarak hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

-    İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, 
-    İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL

olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,

İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

12.03.2020: “İBir bilişim şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 12/03/2020
Karar No : 2020/216
Konu Özeti : Bir bilişim şirketinin kişisel veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin sistemlerine siber saldırı gerçekleştirilerek sistemlerinde yer alan verilerin elde edilmeye çalışıldığı,
  • Pilot adı verilen uygulamada debugging özelliğinin açık olduğu ve şirket için sistem geliştirmesi yapan geliştiricilerin bu özelliği kullanarak uygulamadaki hataları tespit ettiği ve iyileştirme gerçekleştirdiği,
  • İhlale konu siber saldırı ile Pilot uygulamasına internet üzerinden erişim sağlamaya çalışan kişinin(lerin), uygulamaya daha önce giriş yapmış kişilere ait “PHPSESSID” değerini elde ettiği ve Pilot uygulamasına erişim sağladığı,
  • Debugging özelliğinin açık olmasının sebebinin sisteme internet üzerinden erişilerek geliştirmelerin yapılmasına olanak sağlamak olduğu, ancak bu durumun internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı,
  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilemediği ancak veri sorumlusunun sistemlerinde yer alan verilerin tümü dikkate alındığında sistemde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği,
  • İlgili kişilere ilişkin sistemde yer alan kayıtların 1259 sözleşme, 701 alan adı başvuru dosyası (içerisinde imza sirküleri, vergi levhası ve kişi kimlik fotokopisi kayıtları) olduğu,
  • Sistemde ayrıca elli bin kredi kartı bilgisi yer aldığı, ancak bu kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğunun tespit edildiği,
  • İhlalden etkilenen kişi kategorilerinin müşteriler ve potansiyel müşteriler olduğu,
  • Saldırganların hangi verilere eriştiklerinin tespit edilemediği, sistemde yer alan verilerin kimlik, iletişim, işlem güvenliği (kullanıcı adı ve parola bilgileri), ödeme Bilgileri (kredi kartı numarası) olduğu,
  • Ele geçirilen kredi kartı bilgilerinin 2018 tarihi öncesinde veri sorumlusu Şirkete aktarılan bilgiler olduğu, 2016 tarihi itibari ile ödeme hizmetlerinde iyileştirme çalışmaları kapsamında bir proje başlatıldığı, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplanmakta ve onlar tarafından saklanmakta olduğu,
  • Veri ihlalinden doğrudan etkilenen özel nitelikli bir veri bulunmadığı, ancak tüzel kişi müşterilerin imza sirkülerinin ekinde yer alan eski kimlik fotokopilerinde kan grubu ve din bilgisi hanelerinin bulunduğu ve bazı imza sirkülerinde kimlik fotokopisinin arka yüzünün de yer alabildiği dikkate alınarak; bazı müşteriler için saldırganların bu verilere de erişme ihtimali olabileceği,
  • Sistemde yer alan tüm kayıtların incelendiği ve sayımlarda (imza sirkülerlerinde yer alan kimlik fotokopileri de dahil) 1.784 adet eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğunun tespit edildiği,
  • İhlalden etkilenen tüm müşterilere e-posta göndermek suretiyle bildirimde bulunulduğu, bir kısım müşterilere mümkün olduğunca telefonla da bilgilendirme gerçekleştirildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı sayılı Kararı ile;

  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilememesinin, veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığının göstergesi olduğu, 
  • Veri sorumlusu tarafından hangi kişisel verilerin etkilendiğinin tespit edilemediği ancak sistemlerde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği, bu kişilerden 1.784 tanesinin eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğu ayrıca elli bin kredi kartı bilgisi yer aldığı,
  • Veri sorumlusunun kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğu, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplandığı ve onlar tarafından saklandığı bu çerçevede veri sorumlusunun ödeme sistemini değiştirmiş olmasına rağmen sistemde bulunan kredi kartı bilgilerini imha etmeyerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasının (b) ve (ç) bendine aykırı hareket ettiği,
  • Şirket dışından erişim için güvenlik amacıyla VPN ile Şirket IP'sine bağlanıldığı ve kişilere özel kullanıcı adı ve VPN şifresi verildiği, saldırganların da sisteme SFTP ve VPN aracılığı ile bağlandığı, ihlalden sonra 29.01.2020 tarihinde yapılan ve veri sorumlusu tarafından Kurumumuza gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusunun https://www.****.com.tr adresinde domain ve hosting hizmetlerinin satın alındığı ekranları incelendiğinde satın alma süreçlerinde kimlik ve iletişim bilgilerinin talep edildiği ancak herhangi bir aydınlatma metninin bulunmadığı göz önüne alındığında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerini yeterli seviyede yerine getirmediği kanaatine varıldığı,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması vb) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezasının uygulanmasına,

  • Veri ihlalinin 09.10.2019 tarihinde 14:04’de gerçekleştiği, 11.10.2019 tarihinde saat 14.04’de veri sorumlusu tarafından tespit edildiği, 14.10.2019 tarihinde Kurula 72 saat içinde bildirildiği 

dikkate alındığında bu hususta yapılacak bir işlem bulunmadığına

karar verilmiştir.

06.05.2021: “İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası hakkında”
Karar Tarihi : 06/05/2021
Karar No : 2021/470
Konu Özeti : İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası

 

İlgili kişinin Kuruma intikal eden şikayetinde özetle; kendisine işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin tarafına iletilmesinin veri sorumlusu Şirketten talep edildiği,  veri sorumlusu tarafından verilen cevapta ise istenilen bilginin sağlanması için kimliği doğrulayacak ilave bilgiler talep edildiği, bunun üzerine dilekçe ve kimlik görüntüsünün veri sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu şirketin gönderdiği e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik önlemi alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer alan cep telefonu numarasının aranması gerektiğinin belirtildiği,  getirilen bu ilave güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin engellendiği ve hesap hareketlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmektedir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin gmail adresinden veri sorumlusuna gönderdiği e-postada … nolu yemek kartı kullanıcısı olduğunu belirterek Kanun’un 11’inci maddesi uyarınca tüm hesap hareketlerini ve işlenen verileriyle ilgili açıklamaları talep ettiği, yapılan inceleme sonucunda söz konusu e-posta adresi sistemde kayıtlı olmadığından, ilgili iletişim kanalının teyit edilemediği ve ayrıca ilgili kişi tarafından sunulan kart numarasının hatalı bir numara olduğunun görüldüğü,
  • Veri sorumlusunun ilgili kişinin talebine verdiği cevapta, talebin ilgili kişi tarafından yöneltildiğinin ve ilgili kişi haricinde bir başka kişiye cevap verilmediğinin teyit edilebilmesi için kimliğini doğrulayacak bazı ilave bilgiler istenildiği, veri sorumlusunun talebi üzerine ilgili kişi tarafından gönderilen e-postanın ekinde yer alan ıslak imzalı dilekçedeki talebin “Tarafıma ait .. numaralı kartın tüm hesap hareketlerinin …@gmail.com e-posta adresine gönderilmesi için gereğinin yapılmasını arz ederim.” şeklinde olduğu, bildirilen e-posta adresine yanıt verildiği ve başvurunun konusu olan tüm bilgilerin e-postanın ekinde ilgili kişiyle paylaşıldığı,
  • İlgili kişinin daha önce veri sorumlusu sisteminde tanımlı olmayan ve “gmail” gibi altyapısı yurtdışında barındırılan bir e-posta adresine kişisel verilerinin gönderilmesini talep etmesi nedeniyle risk değerlendirmesi yapılarak e-posta ortamında güvenliği en üst düzeyde temin etmek amacı doğrultusunda talebin yanıtlandığı ve ek olarak dosyanın şifrelendiği, ilgili kişinin dosya şifresinin kendisine verilmesi için doğrudan arayabileceği bir telefon numarasının kendisine bildirildiği ve bu güvenlik tedbirinin neden alındığının açıkça izah edildiği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı; erişim hakkının bilgi talep etme hakkını tamamlayarak ilgili kişinin kişisel verileri üzerindeki haklarını kullanabilmesi için kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkan sağladığı,
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, veri sorumlusunun ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; ayrıca, Kurum tarafından veri güvenliğinin sağlanmasına atfedilen önem doğrultusunda yayımlanan Kişisel Veri Güvenliği Rehberi’nde (Teknik ve İdari Tedbirler) Kanun’un 12’nci maddesi kapsamında veri güvenliğini sağlamak amacıyla veri sorumlusunun temin etmesi gereken teknik ve idari tedbirlere ilişkin başlıca yöntemlerin bölümler halinde açıklandığı, hangi önlemlerin alınması gerektiği konusunda ise Rehber’de belirtildiği üzere öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, 
  • Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin, üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı; veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiği,
  • Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kullanımındaki yemek kartının hesap hareketleri ve yükleme bilgilerine ilişkin kişisel verileri içeren dosyanın ilgili kişi tarafından belirtilen ve alt yapısı yurt dışında olan “gmail” hesabına e-posta aracılığıyla gönderileceği için bu verileri içeren dosyanın şifrelenerek gönderilmesi ile veri güvenliğinin üst düzeyde sağlanmasının amaçlandığının ifade edildiği; Kurulun 31/05/2019 tarihli ve 2019/157 sayılı Kararında belirtildiği üzere, Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının söz konusu olacağı; bu doğrultuda, Kanunun 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü altında olan veri sorumlusunun aldığı ilave güvenlik önleminin ilgili kişinin iddia ettiği üzere Kanuna aykırılık değil, Kanunun titizlikle uygulanması olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.04.2021: “Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında”
Karar Tarihi : 27/04/2021
Karar No : 2021/427
Konu Özeti : Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

 

Bir e-ticaret sitesindeki (veri sorumlusu) partner firmanın, e-ticaret sitesindeki müşteri hizmetleri paneli üzerinden üçüncü kişiler konumundaki firmaların bilgilerine erişmesiyle yapmış olduğu ihbar kapsamında konuya ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır.

Partner firmasının Kurumumuza intikal eden yazılarında;

  • Partner firmanın elektronik adisyon takip sistemi ve dokunmatik bilgisayar ürünlerinin internet ortamında satışına ilişkin, veri sorumlusu ile partner şirket olmak adına başvuruda bulunulduğu,
  • Firmanın, ürünlerini sisteme yüklerken giriş yaptığı bölümün aktif olmadığını fark etmeleri üzerine e-ticaret sitesinin müşteri hizmetlerini arayarak durumu ilettiklerinde, partner sayfasındaki bildirim bölümünden konuya ilişkin iletişime geçilmesi gerektiğinin belirtildiği, firmanın bu doğrultuda bildirim paneline giriş yapıp bildirim göndermeye çalıştıklarında sürekli hata aldığı,
  • Bu hatalardan dolayı Partner Firmanın bildirim linkini tarayıcıya yazıp giriş yapmaya çalıştığı, bu suretle veri sorumlusunun kullanmış olduğu müşteri hizmetleri (CRM) paneline erişildiği, açılan panelde tekrar kullanıcı adı ve şifre istendiği, mevcut kullanıcı adı ve şifreleriyle giriş yapılmaya çalışıldığı, erişim sağlanamayınca şifrelerinin bloke edildiği düşünülerek yeni şifre talep edildiği, e-posta adreslerine gelen şifre ile sisteme giriş yapıldığında veri sorumlusunun CRM paneline ulaşıldığı, bu sistem açığıyla ilgili veri sorumlusuna e-posta gönderildiği,
  • Konuya ilişkin veri sorumlusunun avukatının kendilerini arayarak, belirli bir ücret karşılığında kendilerini danışman şirket olarak atayacaklarını, veri sorumlusu tarafından ilgili firmaya bir şifre verilerek sisteme giriş yapılacağını, veri sorumlusunun onayı ile sistem açığı bulunup bulunmadığına yönelik kontrol sağlamak amacıyla girdiğini gösterir bir senaryo hazırlayacaklarını ve söz konusu senaryoyu destekleyecek bir gizlilik sözleşmesi imzalayacaklarını belirttiği, veri sorumlusunun ofisinde bir toplantı gerçekleştirildiği, yapılan toplantıda güvenlik açığına ilişkin görüşme gerçekleştirildiği ve gizlilik sözleşmesinin imzalandığı

ifadelerine yer verilmiştir. 

Veri sorumlusunun meydana gelen veri ihlali ile ilgili Kurumumuzun konuya ilişkin tebligatlarına verilen cevap yazılarında ise;

  • Pazar yeri modeli ile satış yapmak üzere kendilerine başvuran şahısların veri sorumlusu nezdinde satış yapabilmelerini teminen giriş yapmaları amacı ile kendilerine tahsis edilen kullanıcı adı ve şifre ile sisteme giriş sağladıkları,
  • Şahısların daha sonra sistemde bir açık bulduklarını, kendilerine ait doküman yükleme sayfası dışında üçüncü kişiler konumundaki firmaların bilgilerine de eriştiklerini beyan ederek veri sorumlusuna müracaat ettikleri,
  • Akabinde bahse konu veri güvenliği açığına ilişkin, veri sorumlusu ile şahıslar arasında kişisel verilerin korunması amacıyla firmanın sisteme ilk girdiği tarihten itibaren başlayacak şekilde bir gizlilik sözleşmesi imzalandığı, sözleşme ile bu şahısların, ellerindeki tüm verileri veri sorumlusuna teslim edeceklerini ve kendi sistemlerindeki yedekler dahil tüm veriyi imha edeceklerini, tüm sürecin gizliliğini de en üst düzeyde sağlayacaklarını taahhüt ettikleri, 
  • Söz konusu sözleşmenin başlangıç tarihi olayın oluş tarihi olduğundan firma tarafından bilgilere erişilmesinin veri sorumlusu ile firma arasında akdedilen sözleşme kapsamında gerçekleştiği ve bu anlamda herhangi bir hukuka aykırı erişimin bulunmadığı,
  • Taraflar arasında bu minvalde bir sözleşme imzalanmışsa da daha sonra bu şahısların veri sorumlusundan şantaj yolu ile para istedikleri, veri sorumlusunun bu şahıslara herhangi bir ödeme yapmadıkları ve sonunda da Kişisel Verileri Koruma Kurumuna başvurdukları,
  • İhlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından re'sen incelemeye ilişkin karar verilemeyeceği zira konunun yargı organları tarafından değerlendirilmesi gerektiği,
  • Konuya ilişkin Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

belirtilmiştir.

Partner Firmanın yapmış olduğu ihbar bildiriminin ve veri sorumlusu yazılarının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Kararı ile;

A.    Teknik ve idari tedbirler ile ilgili olarak;

  • Veri sorumlusu  tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ve erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda bahsi geçen “Gizlilik Sözleşmesi” öncesinde “veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişimin meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı,
  • İhlalin veri sorumlusu tarafından kendi tedarikçisi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığının göstergesi olduğu

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 600.000 TL idari para cezası uygulanmasına,

B.    Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:

Veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak erişilmesi dolayısıyla, Firma nezdinde erişimi gerçekleştirenler yönünden yürütülen cezai soruşturmaya konu fiil ile veri sorumlusunun veri güvenliğini sağlamaya ilişkin gerekli her türlü teknik tedbiri almaması nedeniyle oluşan veri ihlalini Kurula bildirme yükümlülüğünün farklı fiiller olduğu, ihlalin 22.10.2019 tarihinde gerçekleşmesi ve 22.10.2019 tarihinde tespit edilmiş olmasına rağmen 

  • Veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmadığı, 
  • Kişisel Verileri Koruma Kuruluna ihlal bildiriminde bulunulmadığı 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına 

  • Kurumumuzun bilgi belge talep yazısına cevap verilmediği dikkate alındığında, Kanuna uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

27.04.2021: “Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında”
Karar Tarihi : 27/04/2021
Karar No : 2021/426
Konu Özeti : Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme

 

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurumumuza bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme  başlatılmıştır. 

Yardım masası paneli hizmeti veren veri sorumlusu nezdinde yapılan yerinde inceleme ve konuya ilişkin ifadelerinin yer aldığı tutanakta;

  • Veri ihlalinin, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu yetkilendirme çalışması esnasında veri tabanı katmanında çalıştırılan SQL Script kodundaki bir hata sonucu oluştuğu,
  • Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmesiyle, partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan diğer firmaların da yardım masası bildirimlerine ulaşabildiği,
  • Veri sorumlusu tarafından yapılan analiz çalışması sonucunda, sadece söz konusu partner firmanın kendisi haricindeki diğer yardım masası bildirimlerine erişim sağladığının tespit edildiği,
  • Durum tespit edilir edilmez partner firmaya ait yardım masası yetkisi veri sorumlusu tarafından kaldırılarak erişiminin engellendiği,
  • Partner firma tarafından veri sorumlusuna gönderilen e-postada, ilgili hata sonucu diğer firmalara ait bilgileri görebildikleri, kendileri ile iletişime geçilmemesi durumunda ihbarda bulunulacağı ve veri sorumlusunun çalışmakta olduğu firmalarla iletişime geçileceğinin paylaşıldığı, veri sorumlusu avukatınca partner firmaya gerekli yasal hatırlatma yapılarak, erişilen verilerin silinmesinin talep edildiği, 
  • Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilenmiş olduğu, veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile ilgili e-posta yoluyla bilgilendirme yapıldığı,
  • Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun karar verici pozisyonda olduğu, ancak gelen geri bildirimler (kullanıcı deneyimleri) çerçevesinde değerlendirme yapılarak ürün özelliği olarak versiyon planı dahilinde eklendiği, kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle kendilerine özel ekranlar oluşturabildikleri 

ifade edilmiştir.

Yardım masası panelinin, veri sorumlusunun kendisi tarafından kurulan ve yönetilen bir platform olduğu, yazılım hizmetleri ile ilgili bakım ve destek hizmetlerini sağladığı, diğer veri sorumlularının sınırlı bir erişime sahip olduğu ve üzerinde doğrudan değişiklik yapmasının mümkün olmadığı değerlendirilmiştir.

İhlal ile ilgili 3 veri sorumlusu tarafından, Kurumumuza kişisel veri ihlal bildiriminde bulunulmuş, bildirimde bulunmayan 10 veri sorumlusu hakkında 22.04.2020 tarih ve 2020/311 sayılı Kurul Kararı ile resen inceleme başlatılmasına karar verilmiş olup, bunun üzerine söz konusu veri sorumlularından bilgi ve belge talep edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/426 sayılı Kararı ile,

A)    Teknik ve idari tedbirler ile ilgili olarak;

  • Yardım masası panelinin, yazılım firmasından hizmet alan veri sorumlularının kullanıcı adı ve şifreleriyle giriş yapıp yardım taleplerini ilettikleri bir platform olduğu, söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının veri sorumlusu sıfatını haiz olduğu, 
  • Veri ihlalinden 13 farklı veri sorumlusunun, 950’den fazla sayıda çalışanına ve müşterisine ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
  • Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, 
  • Bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği,
  • Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığı

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak (ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği) Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 300.000 TL idari para cezasının uygulanmasına,

B)    Kurumumuza ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen  72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak  Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 100.000TL idari para cezasının uygulanmasına,

C)    Kurumumuza yönelik bilgi ve belge gönderimi hakkında;

  • Bir kamu tüzel kişiliğine haiz veri sorumlusunun, söz konusu olay dahilinde kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurumumuza herhangi bir cevap vermediği
  • Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından resen incelemeye ilişkin karar verilemeyeceği, zira olayın yargı organları tarafından değerlendirilmesi gerektiğini iddia ettiği ve Kurumumuza bir takım bilgi ve belge göndermiş olmakla birlikte; Kurulun, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi Kurumumuza göndermemiş olduğu

hususları dikkate alındığında Kanunun 15 inci maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü çerçevesinde veri sorumluların Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına

karar verilmiştir.

20.04.2021: “Bir hastanenin veri ihlal bildirimi hakkında”
Karar Tarihi : 20/04/2021
Karar No : 2021/407
Konu Özeti : Bir hastanenin veri ihlali bildirimi

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği, 
  • İhlalden; 789 hastanın etkilendiği, ancak 54 dosyanın teslim alınarak yedieminliğe teslim edildiği, 
  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği,
  • Hekimin bir hastasının hastaneye gelmesi üzerine, tedavi geçmişinin hekim tarafından alındığı bilgisinin kendisine verildiği, 
  • İhlalin gerçekleşmesinden önce ihlal ile ilgili çalışanlardan (eski çalışan dahil 9 kişi) biri hariç hepsinin kişisel verilerin korunması eğitimi aldığı, 
  • İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, geç bildirim sebebi olarak; ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalandığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği hususlarına rağmen kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kuruma bildirim yapıldığı şeklinde açıklandığı

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,

A.    Teknik ve idari tedbirler ile ilgili olarak;

  • Veri ihlal bildirimine konu olayın; hastanede çalışan hekimin hastalarına ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların bulunduğu poşetlerin, kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Kamera kayıtlarının kontrolünün sağlanmadığı, hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girebildiği ve başhekimliğin izni olmadan hastalara ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların arşivden çıkartılabildiği hususlarının veri güvenliğinin sağlanmasını temin etmeye yönelik fiziksel ortamların güvenliğini sağlayacak idari tedbirlerin yeterli ölçüde alınmadığının göstergesi olduğu, 
  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği, 
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu, 
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, Kuruma gönderilen belgelerde yer alan bilgilerin incelenmesi neticesinde; münhasıran kişisel verilerin korunmasına yönelik eğitimin; sadece 3 çalışan tarafından alınmış olduğu, kişisel verilerin korunması eğitiminin diğer çalışanlara tanımlanmış olmasına rağmen söz konusu çalışanların eğitimlere hiç başlamadıkları ve bu hususta hastane tarafından bir aksiyon alınmadığı, 3 çalışanın kişisel verilerin korunması eğitimi aldıkları ifadesinin “Kalite Müdürlüğü Eğitimi” başlığı altında yer alan konulardan biri arasında kişisel verilerin korunmasının yer almasına istinaden yapıldığı, 2 çalışana ihlalin başlangıç tarihinden sonra eğitim verilmiş olduğu, eğitim tanımlanan 1 çalışanın ise kişisel verilerin korunması ile ilgili hiçbir eğitim almamış olduğu, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı, bu durumun ise çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu, 
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına,

B.    Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:

  • İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, geç bildirim sebebinin, ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalanıldığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği, kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kuruma bildirim yapıldığı şeklinde açıklandığı
  • İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

20.04.2021: “Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar”
Karar Tarihi : 20/04/2021
Karar No : 2021/389
Konu Özeti : Bir sigorta şirketinin hizmeti açık rıza şartına bağlaması hakkında ihbar

Kuruma intikal eden bir ihbarda; ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • İnternet sayfası üzerinden müşterinin kim olduğunun anlaşılması, kimlik doğrulamasının yapılabilmesi, tazminat taleplerinin alınabilmesi, poliçe/sözleşme ve teminatlarının kontrolü, hasar takibi, müşteri talebi doğrultusunda ya da otomatik olarak müşteriye e-posta ile bilgilendirme yapılması amaçlarına yönelik müşterilere ait kişisel veri ve özel nitelikli kişisel verilerin işlenebildiği, bu kişisel verilerin ise kimlik numarası, telefon numarası, doğum tarihi, baba adı, kişiye ait sağlık bilgileri, sağlık hizmeti faturaları ve buna bağlı sağlık harcama bedeli talepleri, e-posta adresi olarak sıralanabileceği ve bu verilerin Kanunun 5 inci maddesinin birinci fıkrası uyarınca, ilgili kişinin açık rızası olması halinde ve yine anılan maddenin ikinci fıkrasına göre açık rızanın aranmayacağı tahdidi olarak belirtilen hallerde Kanuna uygun olarak işlendiği,
  • İnceleme konusu olan uygulamanın ilgili hizmetlerin verildiği tek mecra olmadığı ve söz konusu hizmetlerin kişisel verilerin işlenmesinde alınan açık rıza şartına bağlanmadığı,
  • Şirketin hem kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde hem de ticari elektronik iletiler hakkında mevzuat gereği, kişisel verileri işleme kapsam ve koşulları konusunda ilgilileri aydınlatma/bilgilendirme ve gerektiğinde bu aydınlatmanın yapıldığını da ispat etme yükümlülüğü bulunduğu, bu sebeple uygulama girişinde ilgililere aydınlatma metni iletildiği, sağlık verileri başta olmak üzere yukarıda belirtilmiş olan kişisel verilerin işlenmesi söz konusu olabileceğinden, bir kez sisteme bağlanan bir kullanıcının, web üzerinden sunulmakta olan başka hizmet(ler)i de almak isteyebileceğinin önceden öngörülmesi mümkün olmadığından, açık rıza talep edilmesi gerektiğinin düşünüldüğü,
  • Şirket tarafından internet sayfası üzerinden sunulmakta olan ürün ve hizmetlere asıl erişimin Türkiye'nin hemen her noktasında faaliyet gösteren sigorta acenteleri aracılığı ile sağlandığı, çağrı merkezinin de müşterilere kesintisiz olarak hizmet verdiği; ayrıca, başka bir alternatif olarak da Şirketin kurumsal internet sayfası ve mobil uygulamaları ile müşterilere bir takım ürünlere elektronik ortamdan da erişme imkânı sunulduğu, dolayısıyla Şirketin internet sayfası üzerinden sunulan çeşitli hizmetlere ulaşılabilecek başka mecra ve kanalların da mevcut olduğu, 
  • Şirketin açık rıza bildirimi ve aydınlatma bildirimlerinin internet sayfasında yer alan iki ayrı linkte yer aldığı

ifade edilmiştir.

Söz konusu ihbar dilekçesindeki iddialar, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/389 sayılı Kararı ile;

A. Aydınlatma Metninin Mevzuata Uygunluğuna İlişkin Olarak:

  • 6698 sayılı Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişileri kişisel verilerin işlenme faaliyeti hakkında anılan maddede yer verilen unsurları içerecek şekilde bilgilendirmesi ve bu kapsamda, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğünün, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümlerine uygun olarak yerine getirilmesi gerektiği, 
  • Tebliğin 4 üncü maddesinde; aydınlatma yükümlülüğünün kapsamının, 5 inci maddesinde ise veri sorumlusunun aydınlatma yükümlülüğünü yerine getirirken uyması gereken hususların düzenleme altına alındığı,
  • Sigorta faaliyetleri çerçevesinde sigortacının müşteriye karşı olan yükümlülüklerini ifa edebilmesi için çeşitli kişisel verilerin işlenmesi gerekli olabileceğinden, söz konusu kişisel verilerin işlenmesinde Kanuna ve Tebliğe uygun aydınlatmanın yapılmasının önem arz ettiği, Şirketin cevabi yazısında belirttiği linklerde, “Online İşlemler” sayfasında sisteme giriş için doldurulması gereken kutucukların alt kısmında “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği, “Gizlilik ve Kişisel Verilerin Korunması Esasları” ibaresinin üzerine tıklandığında ise aydınlatma metninin açıldığının tespit edildiği, veri sorumlusunun cevabi yazısında belirtilmiş olan her iki linkte de yer alan aydınlatma metinleri incelendiğinde, söz konusu metinlerin birebir aynı olduğunun anlaşıldığı,
  • Bu çerçevede her iki aydınlatma metninde de “D-Kişisel Verileriniz Toplama Yöntemi ve Hukuki sebebi” başlığı altında “Sigorta poliçeleri ve emeklilik sözleşmelerinin taraflarına ait kişisel/özel nitelikli kişisel veriler; acentelerimiz, internet uygulamalarımız ve çağrı merkezimiz aracılığı ile doğrudan doğruya sizlerden ve sigorta sözleşmelerinden kaynaklanan yükümlülüklerin yerine getirilebilmesi için kamu kurumları tarafından tarafımıza erişim yetkisi verilen veri tabanlarından derlenmektedir.” ifadelerine yer verildiğinin görüldüğü, 
  • Metnin devamında kişisel verileriniz, “6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde sadece sigortacılık faaliyetlerinin yürütülmesi amacı ile ve bu amacın gerektirdiği yasal sürelerle sınırlı olarak işlenmektedir.” şeklinde açıklama yapıldığı, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (h) bendinde de düzenlendiği üzere, Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep”ten kastın, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiği olduğu, bu anlamda hukuki sebep olarak Kanunda düzenlenen 5 inci veya 6 ncı maddelerden hangisine veya hangilerine dayanıldığına ilişkin bir bilgilendirmede bulunulmadığının anlaşıldığı, 
  • Bununla birlikte, mezkûr metnin “C-Kişisel Verilerinizi Kimlere ve Hangi Amaçla Aktarıyoruz?” başlığı altında geçen “sigortacılık ve sair mevzuat” ibaresinin muğlak olduğu, zira kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmesi gerektiği, ayrıca metinde yer alan kurum ve kuruluşların isimlerinin de güncellenmediğinin anlaşıldığı,
  • Diğer taraftan, ihbar edenin başvurusuna konu online sisteme veri sorumlusunun hizmetlerinden faydalanmak amaçlı üyelik kurulduktan sonra müşteriye ait TC kimlik numarası ile cep telefonu numarasının girilmesi sureti ile giriş yapılabildiğinin görüldüğü, sisteme giriş için doldurulması gereken kutucuğun alt kısmında yer alan “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği, dolayısıyla tek bir kutucuk işaretlendiğinde ilgili kişinin hem aydınlatma metnine hem de kişisel verilerinin işlenmesine onay verdiği, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendine göre, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin hüküm altına alındığı, dolayısıyla kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olduğu durumlar için ayrı bir açık rıza metninin de oluşturulması gerektiği 

B. Açık Rızanın Hizmet Şartına Bağlanıp Bağlanmadığına İlişkin Olarak:

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin birinci fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, diğer bir deyişle, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerekmekte olup, açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Diğer taraftan, kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, bununla birlikte ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Bununla birlikte, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, bu çerçevede kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
  • Öte yandan, 4682 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanununun (4682 sayılı Kanun) “Emeklilik sistemine katılma ve emeklilik sözleşmesi” başlıklı 4 üncü maddesinin birinci fıkrasına göre;

     “(…) Sisteme katılmak için şirket ile emeklilik sözleşmesi akdedilir. Emeklilik sözleşmesi; şirket nezdinde bireysel emeklilik hesabı açılması, hesaba katkı payı ödenmesi, ödenen katkı paylarının tercih edilen fonlarda yatırıma yönlendirilmesi ve hesapta biriken paraların hak sahiplerine ödenmesine ilişkin esas ve usuller ile tarafların bu kapsamdaki diğer hak ve yükümlülüklerini düzenleyen sözleşmedir. Emeklilik sözleşmesi, katılımcı ile bireysel emeklilik sözleşmesi şeklinde veyahut bir istihdam ilişkisine dayalı olarak veya katılımcı adına bir kuruluş ile grup emeklilik sözleşmesi şeklinde yapılabilir. Emeklilik sözleşmesine ve emeklilik sözleşmesinde bulunacak hususlara ilişkin esas ve usuller Kurulun görüşü alınarak Müsteşarlık tarafından belirlenir.

    hükmünün düzenlendiği, 09.11.2012 tarihli Resmi Gazetede yayımlanan Bireysel Emeklilik Sistemi Hakkında Yönetmeliğin (BES Yönetmeliği) 3 üncü maddesinin birinci fıkrasının (z) bendine göre teklif formunun, emeklilik planına, plan kapsamında sunulan fonlara, yapılan kesintilere, katkı payı tutarına, emeklilik sözleşmesinin taraflarına ve katılımcının yatırım tercihlerine ilişkin hususlar ile benzeri bilgileri içeren form olarak tanımlandığı, yine, anılan Yönetmeliğin “Bilgilendirme, teklif ve sözleşmenin düzenlenmesi” başlıklı 5 inci maddesinde;

    Bilgilendirme, teklif ve sözleşmenin düzenlenmesi

    MADDE 5 – (1) Şirket, bireysel emeklilik sistemine girmek isteyenlere, sisteme girme kararını etkileyebilecek hususlar hakkında bilgi verir; dürüstlük ilkeleri çerçevesinde, emeklilik sözleşmesinin müzakeresi ve düzenlenmesi sırasında katılımcıya veya sözleşmeyi düzenleyen sponsora veya işverene sistemin işleyişine ilişkin teknik konularda yardımcı olur, tarafların hak ve yükümlülüklerine ilişkin gerekli her türlü bilgiyi sağlar, yanıltıcı her türlü hâl ve davranıştan kaçınır. Bakanlık ilgililere yapılacak bilgilendirmenin asgari içeriğini ve yöntemini belirler.
    (2) Şirket, kişinin emekliliğe yönelik beklentilerine, gelir düzeyine ve yaşına uygun bir emeklilik planı teklifi sunar. (…)

    hükmünün yer aldığı, 

  • Bu çerçevede, veri sorumlusunun internet sitesinde yer alan “Bireysel Emeklilik Sözleşmesi Teklif Formu”nun (Teklif Formu) incelenmesinden “İnternet Ortamında Sunulacak Hizmetlere İlişkin Hükümler” başlığı altında yer verilen ifadelerden ilgili kişi ile veri sorumlusu arasında akdedilen Hizmet Sözleşmesi ile ihbar konusu uygulamanın kullanımında talep edilen verilerin veri sorumlusunun internet üzerinden sunduğu hizmetlerde şifre dışında geliştirilen bir yöntem olarak görülebileceği, bu durumda, veri sorumlusunun anılan kişisel veriler için Kanunun 5 inci maddesinin ikinci fıkrasında yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”  veri işleme şartına dayanacağı değerlendirildiğinden hizmetin açık rıza şartına bağlanmasından söz edilemeyeceği, bununla birlikte ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı, dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını iç içe geçmiş belirsiz bir biçimde kullandığının görüldüğü, bu noktada söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin açık bir şekilde ifade edilmesinin veri sorumlusunun yükümlülüğü olduğunun altının çizilmesi gerektiği, 
  • Ayrıca söz konusu kişisel veri işleme faaliyeti, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun ise Kanunun 4 üncü maddesinin ikinci fıkrasının (a) bendinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

  • Kanunun 5 inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına,
  • Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına

karar verilmiştir.

13.04.2021: “İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması”
Karar Tarihi : 13/04/2021
Karar No : 2021/359
Konu Özeti : İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları istenilmiştir.

Bu kapsamda Yönetim Hizmeti Sunan Şirketten alınan cevabi yazıda özetle; 

  • İlgili kişinin ikamet ettiği Sitenin Temsilciler Kurulu ile Şirketleri arasında hizmet sözleşmesinin bulunduğu, mezkur sözleşme kapsamında yükümlülüklerinin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde; sitenin ortak alanlarında çalışacak personelin tahsisi ve çalıştırılması, site yönetim faaliyetlerine danışmanlık verilmesi, sitenin finansal durumunun analizi ve bilanço hazırlanması, site denetim kurulunun denetim işlemleri sırasında refakat edilmesi, sitenin gelir-gider muhasebe işlemlerinin usule uygun olarak yapılması olduğu, 
  • Dolayısıyla Şirketlerinin, bir yönetim firması olduğu ve yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu, site sakinlerinin kişisel verilerinin kesinlikle üçüncü kişilerle paylaşılmadığı, muhtemel olarak ilgili kişinin kendisinin programa kaydolduğundan SMS ile bilgilendirme aldığı,
  • Söz konusu uygulamayı sunan Şirket ile aralarında hizmet sözleşmesi bulunduğu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığı, Şirketlerine üçüncü bir taraftan gelen yüksek meblağlı bir ürünle ilgili indirimin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi için hali hazırda kullanılan bir uygulama (ilk uygulama) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (ikinci uygulama) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu, 
  • İlgili kişinin mezkur uygulamaya kaydının Şirketlerince yapılmadığı, ilgili kişinin uygulamaya kendi özgür iradesiyle kayıt olduğu  

şeklinde açıklamalara yer verilmiş ve yazıları ekinde hem halihazırda kullanılan ilk uygulama hizmetini sunan şirket hem de şikayet konusu kişisel verilerin aktarıldığı iddia edilen ikinci uygulama hizmetini sunan şirket ile imzalanan hizmet sözleşmelerine ve taraflar arasındaki KVKK Protokolüne yer verildiği görülmüştür.

Şikayet konusu Uygulama Hizmetini Sunan Şirketten alınan yazıda ise,

  • Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu Şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu sıfatını haiz olmadığı, sağlanan bulut hizmetinin kapsamı gereği veri işleyen sıfatını haiz oldukları, 
  • Sunulan bulut program hizmetinin bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olduğu, ilgili kişinin ikamet ettiği sitede 634 sayılı Kat Mülkiyeti Kanunundan kaynaklanan borç ve yükümlülüklerin gereklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesinin zorunlu olduğu, 
  • İlgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranması durumunun söz konusu olmadığı, böyle bir rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün Yönetim Hizmeti Sunan Şirkete ait olduğu, 
  • İlgili kişinin kişisel verilerinin Yönetim Hizmeti Sunan Şirket tarafından bulut sistemine girilmesi suretiyle elde edildiği, bu kapsamda ilgili kişiye ait kişisel verilerin Yönetim Hizmeti Sunan Şirket tarafından elde edilerek bulut sisteme girişinin yapıldığı, Yönetim Hizmeti Sunan Şirket tarafından ilgili kişinin girişinin yapılmasının ardından bulut programının otomatik olarak ilgili kişiye kayıt mesajı gönderdiği,
  • Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi kapsamında gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; halihazırda yönetim hizmetlerinin ifası için kullanılan ilk uygulamada kayıtlı verilerin şikayete konu edilen ikinci uygulamaya aktarılabilmesi için Yönetim Hizmeti Sunan Şirketin bilgisi ve isteği dahilinde Şirketlerine ilk uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin ikinci uygulamaya otomatik olarak aktarıldığı, 
  • Yönetim Hizmeti Sunan Şirket tarafından ilk uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak ikinci uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiği

açıklamalarına yer verilmiştir.

Söz konusu iddialar, tarafların savunmaları ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/359 sayılı Kararı ile;

  • Öncelikle somut hadisede ilgili kişinin şahsına ait telefon numarasının rızası dışında uygulama ile paylaşıldığı iddiası kapsamında veri sorumlusunun tespit edilmesi gerektiği, veri sorumlusunun tespit edilebilmesi adına Site Temsilciler Kurulu ile Yönetim Hizmeti Sunan Şirket arasındaki sözleşmelerin de incelendiği, bu doğrultuda Yönetim Hizmeti Sunan Şirketin Site Temsilciler Kurulu ile akdettiği sözleşme kapsamında ilgili kişinin ikamet ettiği sitede yönetim hizmetleri verdiği, bu anlamda söz konusu hizmetlerin ifası gereği Yönetim Hizmeti Sunan Şirketin 3. kişilerle sözleşme yapabileceği, bu sözleşmeler kapsamında sorumluluğun Yönetim Hizmeti Sunan Şirkete ait olduğu, Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen uygulama/ikinci uygulama ile hizmet sözleşmesi akdettiği ve bu sözleşmenin eki niteliğinde olan KVKK Protokolünde hizmet sözleşmesinde Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğuna yer verildiği dikkate alındığında Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen ikinci uygulama ile yaptığı sözleşme kapsamında kişisel verilerin işlenme amaç ve yöntemini belirleyen kişi olarak veri sorumlusu sıfatını taşıdığı,
  • Uygulama Hizmetini Sunan Şirketin ise Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Diğer taraftan veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde;
    • Yönetim Hizmeti Sunan Şirketin hizmet sözleşmesi kapsamında uygulamayı kullanarak uygulama ile yazılı olarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı,
    • Yönetim Hizmeti Sunan Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği, 
    • İlgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması hususunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği

          hususlarına yer verildiği,

  • Bununla birlikte, şikayet konusu kapsamında Uygulama Hizmetini Sunan Şirketten alınan cevap yazısından; Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi ile birlikte gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; Yönetim Hizmeti Sunan Şirketin kullandığı ilk uygulamada kayıtlı verilerin ikinci uygulama ile paylaşılabilmesi için veri sorumlusu Şirketin bilgisi ve isteği dahilinde ikinci uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin otomatik olarak ikinci uygulama ile paylaşıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS'i gönderildiği,
  • Bu kapsamda, veri sorumlusu Yönetim Hizmeti Sunan Şirket her ne kadar ilgili kişinin kişisel verilerini ikinci uygulama ile paylaşmadığını iddia etse de, bu uygulama ile aralarında akdedilmiş olan Protokol maddelerine ve Uygulama Hizmeti Sunan Şirketten alınan cevap yazısına göre taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğu; keza Uygulama Hizmeti Sunan Şirketten alınan cevap yazısından da veri sorumlusu Şirketin kullanmış olduğu ilk uygulamada mevcut verilerin ikinci uygulama ile paylaşılması kapsamında veri sorumlusu Yönetim Hizmeti Sunan Şirket tarafından ikinci uygulamaya yetki tanındığı, bu yetki çerçevesinde aralarında ilgili kişinin de bulunduğu ilk uygulamadaki kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığı,  
  • İkinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğunun anlaşıldığı, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, diğer taraftan somut hadisede ise ilgili kişinin açık rızasının alınmadığı hususları göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlendiği kanaatine varıldığı

değerlendirmelerinden hareketle;

  • Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

25.02.2021: “Belediyeler tarafından sunulan internet hizmetleri”
Karar Tarihi : 25/02/2021
Karar No : 2021/140
Konu Özeti : Belediyeler tarafından sunulan internet hizmetleri

Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/140 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne, anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı  hükmüne, (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verildiği, 
  • Kurumumuz internet sayfasında da yayımlanan “Kişisel Veri Güvenliği Rehberi”nde  kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanabileceği, ayrıca uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu hususlarına yer verildiği,
  • Yapılan incelemeler neticesinde bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan hükme aykırı olduğu 

değerlendirmelerinden hareketle; 

  • Bazı belediyelerin bu yöndeki Kanuna aykırı uygulamaları nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine, 
  • Diğer taraftan, yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına

karar verilmiştir.

08.10.2020: “İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından kanuna aykırı veri işleme faaliyetinde bulunulması”
Karar Tarihi : 08/10/2020
Karar No : 2020/769
Konu Özeti : İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun) maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığı, öte yandan Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15 yıl saklanması gerektiği, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı ile;

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Diğer taraftan, Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğunun belirtildiği, aynı maddenin ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte üçüncü fıkrada da özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğerin haller sayıldığı, buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin belirtildiği, 4 üncü fıkrada ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının da getirildiği,
  • İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler bakımından 6698 sayılı Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün olmadığının belirtildiği,
  • Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ilgili kişinin şikayet başvurusu ve veri sorumlusunun cevabi yazısından anlaşıldığı üzere ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı sonucuna varıldığı,
  • 4857 sayılı İş Kanununun 75 inci maddesinin “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” hükmünü haiz olduğu,
  • 5510 sayılı Sosyal Sigortalar Kanununun ‘Prim belgeleri ve işyeri kayıtları’ başlıklı 86 ncı maddesinde “İşveren, işyeri sahipleri; işyeri defter, kayıt ve belgelerini ilgili olduğu yılı takip eden yıl başından başlamak üzere on yıl süreyle, kamu idareleri otuz yıl süreyle, tasfiye ve iflâs idaresi memurları ise görevleri süresince, saklamak ve Kurumun denetim ve kontrol ile görevlendirilen memurlarınca istenilmesi halinde onbeş gün içinde ibraz etmek zorundadır.” şeklinde düzenlemenin yer aldığı,
  • İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı,
  • İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
    • Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde kayıtlı olmadığı,
    • İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu,
    • Aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere iş yeri hekiminin sağlık gözetimi kapsamında yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları bilgilendirmek ve onların rızasını alma, çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu,
    • Öte yandan Kanunun 6 ncı maddesinin üçüncü fıkrasında sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin düzenlendiği,
    • Kanunun 6 ncı maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının bulunduğu, bu kapsamda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı çerçevesinde yeterli önlemlerin belirlendiği

hususları dikkate alınarak Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu

değerlendirmelerinden hareketle

  • Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine,
  • İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesi hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu, aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, 6698 sayılı Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğunun beyan edildiği ve ilgili kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmadığı hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna,
  • İlgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

29.09.2020: “İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi”
Karar Tarihi : 29/09/2020
Karar No : 2020/755
Konu Özeti : İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi

İlgili kişi tarafından Kuruma intikal ettirilen şikâyet dilekçesinde özetle; kendisine ev sahibinden, aidatının bazı aylarda eksik, bazı aylarda ise hiç yatırılmadığına dair bir SMS iletildiği, bu SMS iletimi hadisesinin kendisine ait kişisel verilerin hukuka aykırı olarak işlendiğini ortaya koyduğu; ilgili kişinin, kişisel verilerinin site yönetimi tarafından ev sahibi ile paylaşılmasında hiçbir bilgisi ve rızasının bulunmadığı, bu doğrultuda veri sorumlusu site yönetimine başvurmak suretiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinde gösterilen haklarını kullandığı ve işlenen/aktarılan kişisel verileri ile ilgili olarak tarafına bir aydınlatma yapılıp yapılmadığı hususlarında bilgi talep ettiği, site yönetiminin ise verdiği yanıtta, ilgili kişinin aidat ödeme bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığının belirtildiği fakat ilgili kişiye aydınlatma yapıldığına veya kendisinden bu hususta açık rıza alındığına dair bir belge yahut herhangi bir hukuka uygunluk sebebinin de sunulamadığı belirtilerek veri sorumlusu site yönetimi hakkında idarî para cezası uygulanması talep edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/09/2020 tarihli ve 2020/755 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması artlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği,
  • Öte yandan, 634 sayılı Kat Mülkiyeti Kanununun “Ortak Giderlerin Teminatı” başlığını hâiz 22 nci maddesinin, “Kat malikinin, 20’nci madde uyarınca payına düşecek gider ve avans borcundan ve gecikme tazminatından, bağımsız bölümlerin birinde kira akdine, oturma (sükna) hakkına veya başka bir sebebe dayanarak devamlı bir şekilde faydalananlar da müştereken ve müteselsilen sorumludur. Ancak, kiracının sorumluluğu ödemekle yükümlü olduğu kira miktarı ile sınırlı olup, yaptığı ödeme kira borcundan düşülür…” hükmünü amir olduğu,
  • Söz konusu hüküm uyarınca ev sahibi ile kiracının ortak giderler ve gecikme tazminatından müştereken ve müteselsilen sorumlu olduğu dikkate alındığında, ev sahibinin, kiracısının oturduğu dairenin aidat gibi apartmanın ortak giderlerinden payına düşen kısımlarını ödeyip ödemediğinden haberdar olmasında gerek ev sahibi gerek site yönetiminin menfaati bulunduğu, dolayısıyla söz konusu veri işleme faaliyetinin; 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde gerçekleştirildiği,
  • Bu itibarla veri sorumlusunun ilgili kişiye verdiği cevapta da ev sahibinin isteği üzerine ilgili kişinin borç bilgilerinin ev sahibi ile paylaşıldığının ifade edildiği dikkate alındığında ilgili kişiye veri sorumlusu tarafından verilen yanıtın, ilgili kişinin iddialarına konu hususları yeterli derecede açıklayıcı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanununun 22 nci maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
29.09.2020: “İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi”
Karar Tarihi : 29/09/2020
Karar No : 2020/746
Konu Özeti : İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi

Kuruma intikal ettirilen şikâyette özetle, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle ilgili kişinin veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru gerçekleştirdiği, 25.08.2011 tarihli ve 28036 sayılı Resmi Gazetede yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 12 nci maddesinin ikinci fıkrası uyarınca iletinin okunduğunun kabul edildiği tarihten itibaren otuz gün içerisinde kendisine cevap verilmediği, bunun üzerine müşteri hizmetleri ile görüştüğü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu, veri sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca, bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu belirterek bu sebeple, tarafına iletilmesini talep ettiği ancak verilmediği, müşteri hizmetleri ile yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiği ve söz konusu kişisel verilerin kendisine verilemeyeceğinin belirtildiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www.......net/tr/gizlilik-ve-guvenlik linkinden iletilebileceği, 
  • Veri sorumlusu ve ilgili kişi arasında abonelik sözleşmesi kurulduğu, ilgili kişiye ait kişisel verilerin abonelik sözleşmesinin kurulmasıyla elde edildiği, abonelere ait kişisel verilerin abonelik ilişkisinin yanı sıra sunulan hizmetler kapsamında abonelik sözleşmesi, bayiler ve sair yüz yüze kanallar, çağrı merkezi, web sitesi, mobil uygulamalar, kısa mesaj, elektronik posta, sesli yanıt sistemi kanallarıyla elde edildiği,
  • İlgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin ikinci fıkrasının (c) bendi kapsamında işlendiği, 
  • Müşteri Hizmetleri ile abonelerin yapmış olduğu görüşmelerin ses kayıtlarının müşterilere iletilmesi durumunda müşteriler tarafından farklı amaçlarla kullanıldığı, sosyal medyada yayımlandığı, soruşturmalar kapsamında ve adli makamlara üzerinde tahrifat yapılarak iletilmesi gibi güvenlik risklerinin oluşabileceği, müşteri hizmetleri ile yapılan görüşmelerin ses kayıtlarının görüşmeyi gerçekleştiren müşteri hizmetleri çalışanının da kişisel verileri içerdiği düşünüldüğünde söz konusu kayıtların ilgili kişilere iletilmesinin bu kişilerin hakkını da zedeleyebilecek ve bu kişiyi ifşa edebilecek şekilde kullanılması riskini de doğuracağının değerlendirildiği,
  • Somut olayda ilgili kişinin müşteri hizmetleri ile gerçekleştirdiği görüşmeleri yanlış anlaması nedeniyle bir kampanyaya taahhüt vererek sözleşmenin kurulmuş olduğunu zannettiği ancak, esasen kurulmadığının kendisine daha sonra yapılan görüşmelerde izah edildiği, sonuç olarak aradaki yanlış anlamanın giderilerek ilgili kişinin veri sorumlusunca sunulan … Kampanyası'na kendi isteği ile tekrar taahhüt verdiği ve hâlihazırda hizmet almaya devam ettiği, 
  • Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/746 sayılı Kararında;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun "Amaç ve Kapsam" başlıklı 1 inci maddesinin ikinci fıkrasında elektronik iletişim araçlarıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında olduğunun ifade edildiği, Avrupa Birliği Elektronik Ticaret Direktifi’nde olduğu gibi 6563 sayılı Kanunda da elektronik sözleşmenin tanımının yapılmadığı, ancak, “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde, ticari elektronik iletinin, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri” kapsadığı, bu doğrultuda, 6563 sayılı Kanunun 2 nci maddesinde yer alan ticarî elektronik ileti tanımından hareketle, telefon aracılığıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında elektronik sözleşme olarak kabul edildiğinin anlaşıldığı, dolayısıyla, veri sorumlusu ve ilgili kişinin telefon aracılığıyla sözleşme kurmaya yönelik yaptıkları görüşmede Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan hüküm çerçevesinde kişisel verilerin işlenebileceği,
  • 2010 yılında 5982 sayılı Kanunla Anayasanın 20 nci maddesine eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak teminat altına alındığı, bu bağlamda, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği,
  • Diğer taraftan, Kanunun "İlgili Kişinin Hakları" başlıklı 11 inci maddesinde, 
    "(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; 
    a) Kişisel veri işlenip işlenmediğini öğrenme, 
    b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
    c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
    ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
    d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
    e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
    f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
    g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
    ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
    " hükümlerine yer verildiği,
  • Bu doğrultuda, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkını, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağlaması gerektiği,
  • Ancak bu hakkın, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinin de dikkate alınması suretiyle, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine makul bir şekilde ulaşılabilmesine imkân tanınarak kullanılması gerektiği, 
  • İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,
  • Diğer taraftan, Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince, veri sorumlusunun ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre ve en geç otuz gün içerisinde sonuçlandırması gerektiği, öte yandan, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasında, “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, ayrıca, Tebliğin 6 ncı maddesinin (2) numaralı fıkrasında, veri sorumlusunun başvuruyu kabul edeceği ya da gerekçesini açıklayarak reddedeceği, üçüncü fıkrasında ise, cevabın ilgili kişiye yazılı olarak veya elektronik ortamda bildirileceği

değerlendirmelerinden hareketle;

  • Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

30.06.2020: “Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi”
Karar Tarihi : 30/06/2020
Karar No : 2020/504
Konu Özeti : Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu bir havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin (d) bendi gereğince yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin istendiği, veri sorumlusu tarafından söz konusu talebin “ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu” gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan, gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Veri sorumlusu tarafından şikâyetin yanıtlandığı tarih itibarıyla, çağrı merkezi kayıtlarının ancak adli veya idari görevleri doğrultusunda bunları talep eden yetkili adli ve idari kurumlar ile paylaşıldığı, bunların dışında ise yetkilendirilmiş çağrı merkezi görevlilerinin erişimine açık olduğu,
  • Veri sorumlusunun misafirlerine ilişkin yolcu rezervasyon numarası (PNR), ses kaydı, şikâyet kayıtları gibi farklı türde kişisel verilerinin benzeri platformlar üzerinde ve farklı düzende kayıt altında tuttuğu,
  • Çoğu örnekte söz konusu kayıtların salt misafir kişisel verisinden ibaret olmadığı ve örneğin; PNR kayıtlarında biletleme veya havalimanında uçuşa kayıt (check-in) ve uçuşa kabul (boarding) işlemlerini yapan görevli kişiye, çağrı merkezi kayıtlarında şikâyet kaydı üzerinde işlem yapan yetkiliye ait bilgileri içerebildiği,
  • Veri sorumlusunun Kanun kapsamındaki yükümlülüklerini; tüm ilgili kişiler için amaçla bağlantılı, sınırlı ve ölçülü olma ilkesini gözeterek yerine getirdiği ve ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkının kullanımını da bu ilkeleri gözeterek karşıladığı,  
  • Talep kapsamında kişilerin işlemleri hakkında açık bir şekilde bilgilendirilmelerinin zaruri olduğu,
  • Diğer yandan, veri sorumlusunun kayıtlarında yer alan veri setlerinin aynen başvuru sahipleri ile paylaşılmasının Kanun kapsamında farklı veri ihlali endişelerini beraberinde getirdiği,
  • Çağrı merkezi görüşmelerinin çoğu örnekte, uçuş ve işlemlere ilişkin detaylı bilgi içermekte olduğu, talep ve sonuca ilişkin bilgilerin yazılı iletişim kanalları ile misafirlerine doğrudan aktarıldığı ve ilgili kişinin çağrı merkezi görüşme kayıtlarına ilişkin talebinin de bu nedenle ilgili tarihteki uygulama doğrultusunda olumsuz yanıtlandığı,
  • Diğer yandan 13.03.2020 tarihinde Kurumun internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul karar özeti doğrultusunda ilgili kişi ile tekrar iletişime geçilerek görüşme kaydının gerekli görülen maskeleme tedbirleri uygulanması suretiyle yazılı ortamda ilgili kişi ile paylaşıldığı; bu yönde iletilecek taleplerin benzer bir yaklaşımla ele alınması yönünde ilgili hizmet birimlerinin bilgilendirildiği 

ifadelerine yer verilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Kararı ile,

  • Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu,
  • Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
  • Bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğu,
  • Zira Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmünün yer aldığı, 
  • Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı,
  • Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı,
  • Kurum tarafından iletilen bilgi ve belge talebi konulu yazıyı takiben veri sorumlusunca ilgili kişiye, talep ettiği konuşmanın transkriptinin e-posta vasıtasıyla iletildiği ve Kuruma da redaksiyon ile kapatılmış bir versiyonunun gönderildiği,
  • Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını içeren e-postaya da yer verildiği,

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin edilmesinin hukuka uygun olduğu,
  • Somut olayda gerçekleşen herhangi bir kişisel veri işleme faaliyeti kapsamında, Kanunun 12 inci maddesinin (1) numaralı fıkrası uyarınca veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiği sonucuna varılamayacağı
  • Somut olayla benzerlik arz eden bir konuya ilişkin olarak alınan ve 13.03.2020 tarihinde Kurum internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul Karar özeti dikkate alınarak veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği,
  • Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği

hususları göz önüne alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.

09.02.2021: “Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi”
Karar Tarihi : 09/02/2021
Karar No : 2021/115
Konu Özeti : Bankaya olan borcundan dolayı ilgili kişinin yakınına, Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi

Kuruma intikal eden şikâyette ilgili kişi tarafından, Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşıldığı belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde Bankanın sözleşmeli Avukatından savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Bankanın gecikmiş alacaklarının gerek yasal gerek idari takibini gerçekleştirdiği, vekâlet ilişkisi çerçevesinde tarafınca ulaşılması beklenen müşterilere ait tüm iletişim numaralarının müvekkili Banka tarafından "irtibat bilgisi" olarak iletildiği, söz konusu iletişim bilgilerinin müvekkili Banka tarafından borçlu adına olan numaraların sorgulanması neticesinde referans bilgileri olarak gönderilmesi sebebiyle iletişim numarasını kullanmakta olan kişilerin dosyayla olan ilgisinin bilinmesinin ilk aşamada mümkün olmadığı, başka bir deyişle tarafınca sadece tevdi alınan dosyalar ile birlikte iletilen iletişim numaraları üzerinden borçlulara ulaşıldığı, ne var ki ilk aşamada tespit edilebilmesi mümkün olmamasına karşın mevcut bir numaranın borçlu ile ilgisi olmadığının anlaşılması halinde ivedilikle durumun Bankaya bildirildiği ve borçluya ait olmayan numaranın sistemden çıkartıldığı,
  • Banka ile arasında bir "vekâlet ilişkisi" nin söz konusu olduğu, Bankanın bankacılık faaliyetleri kapsamında müşterilerine ait birçok kişisel veriyi işlediği, Bankadan kredi kullanmış fakat ödemesinde gecikmiş müşterilerin öncelikle uhdesinde bulunan bir ekip tarafından arandığı ve ödemeye davet edildiği, kendilerine tanınan süre içerisinde ödeme gerçekleştirmeyen müşterilere ait dosyaların Bankanın kendisi gibi dışarıdan hizmet aldığı hukuk bürolarına yönlendirildiği ve Bankanın talimatlarıyla idari ve yasal takip sürecinin yürütüldüğü, Bankanın müşterilerine ait tüm kişisel verilerini yine Bankanın kendisi tarafından "Veri Sorumlusu" sıfatı ile işlediği, "Vekil" sıfatı ile takibini gerçekleştirdiği dosyalarda yer alan müşterilere ait tüm kişisel verilerin hukuk bürosuna yine Banka tarafından iletildiği, 
  • Vekilliği yürütülen Banka tarafından dosyaları hukuk bürosuna tevdi edilen müşterilere gerçekleştirilen ilk otomatik aramalarda hiçbir şekilde borçlu adı, borç miktarı yahut banka bilgisine yer verilmediği, otomatik aramalarda dinletilen metinlerin somut şikâyette olduğu gibi dosya ile ilgili olmayan bir kişiye ulaşılması ihtimalinde Kanunu ihlal edici bir fiilin meydana gelmemesi amacıyla tasarlandığı,
  • Şikâyete konu iletişim numarasının Banka tarafından ilgili kişinin iletişim bilgisi olarak sisteme kaydedildiği, ilgili kişinin dosyasının hukuk bürosuna tevdi edilmesi ile birlikte tarafınca dosya içerisinde yer alan tüm iletişim numaralarından borçluya ulaşılmaya çalışıldığı, gerçekleştirilen ilk otomatik arama akabinde numaranın ilgili kişiye ait olmadığının anlaşıldığı ve Bankaya konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı, şahsı ve hukuk bürosunun mevcut olayda kişisel verilerin korunması hukuku çerçevesinde yasal mevzuatı ihlal edici nitelikte hiçbir icrai yahut ihmali fiilinin bulunmadığı, vekil sıfatı ile yürüttüğü işler kapsamında ilgili kişinin kız kardeşine ait olduğunu iddia ettiği numaranın sisteme kaydedilmiş olmasında hiçbir sorumluluğunun bulunmadığı, hukuk bürosunda Bankanın borçluları ile gerçekleştirilen ilk temasta hiçbir isim, borç yahut banka bilgisine yer verilmemesi ve tarafınca takibi gerçekleştirilen dosyalar açısından herhangi bir ihlale mahal vermemesi adına azami gayretin sarf edilmekte olduğu

ifade edilmiştir.
Avukatın savunma, bilgi ve belge talebine vermiş olduğu cevabi yazısının Kuruma iletilmesini müteakip bahse konu başvuru hakkında Bankadan savunması talep edilmiş olup, Banka savunmasında özetle;  

  • Bankanın müşterisi olan ilgili kişinin ödenmemiş borçları sebebiyle 30.12.2016 ve 30.01.2017 tarihlerinde tasfiyeye alındığı, Bankanın alacaklarının tahsilatı için gerekli bilgilerin Banka alacaklarının tahsilatına ilişkin avukatlık hizmetlerinin gerçekleştirilmesine ilişkin olarak İcra Takibi Öncesi Tahsilat Hizmeti Sözleşmesi kapsamında Bankanın sözleşmeli hukuk bürosuna aktarıldığı,
  • Yasal Takip Sisteminin Bankanın yasal takip sürecinde olan müşterilerinin bilgilerine sözleşmeli avukatların erişebildiği ve numara ekleme çıkarma yapabildikleri bir sistem olduğu, ilgili kişiye ait telefon numarasının bu sisteme 'Diğer Telefonu’ olarak kaydedildiği, sözleşmeli avukatlar tarafından verilen hizmetlerde müşteri teyidinin yapılmadan müşteriye ait hiçbir bilginin verilmemesinin ana kuralları olduğu, Avukatın da beyan ettiği gibi teyit edilmeyen numaralar ile yapılan tüm iletişimlerde kişisel veriler ile ilgili her türlü tedbir alınarak hareket edilmesi gerektiği, 
  • Bu kapsamda Banka tarafından tasfiye dosyası aktarılan tüm hukuk bürolarına 02.09.2019 ve 21.11.2019 tarihlerinde borçluya, kefiller ve diğer tüm taraflara (rehin maliki, çeki senet cirantaları, keşidecileri, aval verenleri vb., ayni ve/veya şahsi olarak takip ve/veya davalara muhatap olan tüm ilgililer) ait kişisel verilerin 3. şahıslar ile paylaşılmaması, borçlu ve kefiller başta olmak üzere yukarıda yer verilen tüm taraflar ile iletişim kurulan tüm kanallarda kişisel verilerin gizliliğinin korunması yönünde gerekli tedbirlerin alınması hususlarında hassasiyet gösterilmesi konularında gerekli bilgilendirmelerin yapıldığı,
  • İlgili kişinin Bankaya yapmış olduğu başvuru kapsamında Avukata ait hukuk bürosu ile irtibata geçilerek, ilgili kişinin hangi numaralardan arandığı, hangi telefonlara SMS gönderildiği hususlarında detaylı bilgi talep edilmesi sonrası, hukuk bürosundan ilgili kişinin daha önceden kendilerini arayarak kız kardeşinin cep telefonuna SMS ve arama gitmesinden dolayı şikayetini ilettiği, telefonu kardeşinin kullandığı ve kardeşi ile bilgilerinin paylaşıldığını iddia ettiği, söz konusu numaranın iletişim bilgilerinde yer aldığı ancak bu numara ile görüşme yapılmadığı, 3. şahsın sadece gönderilen SMS'lerden bilgi sahibi olmuş olabileceği iletilse de ilgili kişinin şikayetinin devam ettiği, numaranın Yasal Takip Sisteminden silindiği bilgisinin alındığı, söz konusu numaranın avukatlık bürosu tarafından Yasal Takip Sisteminden 22.11.2019 tarihinde kaldırıldığı

ifade edilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Kararı ile,

  • Somut olayda, Avukatın Banka ile arasındaki vekâlet ilişkisine istinaden tarafınca Bankanın gecikmiş alacaklarının gerek yasal gerekse de idari takibini gerçekleştirdiği, vekalet ilişkisi çerçevesinde tarafınca ulaşılması beklenen müşterilere ait tüm iletişim numaralarının müvekkili Banka tarafından "irtibat bilgisi" olarak iletildiği, dilekçesi ekinde yer alan belgelerden de incelemeye konu iletişim numarasının bizzat Banka tarafından işlerin takibinde kullanılan Yasal Takip Sistemine kaydedilmiş olduğunun anlaşıldığı, müşterilerin Bankayı sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda, ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında alternatif numaraların arandığının anlaşıldığı; bu çerçevede, Bankanın kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu ve veri sorumlusu sıfatını haiz olduğu;  
  • İlgili kişinin kız kardeşine ait olan numarayı asla iletişim numarası olarak kullanmadığı şeklindeki iddiasına ilişkin olarak Bankanın müşterilerinin sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında, alternatif numaralar aranarak, hiçbir kişisel bilgi paylaşılmaksızın müşterilerinin Bankayı araması hususunda not bırakıldığı savunması ve Kanunun 3 üncü maddesinde unsurları belirtilen açık rızanın kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşıdığı dikkate alındığında ilgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, diğer taraftan Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından birine dayanılarak da yapılmadığı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
  • Bankanın alacaklarının borçlu müşteriler aleyhinde icra takibine geçilmeden müşterilerle uzlaşarak tahsil edilebilmesi amacıyla icra takibi öncesinde tahsilat hizmeti aldığı ve kişisel verileri aralarında sözleşme imzaladıkları hukuk bürolarına aktardığını ifade ettiği; bu çerçevede, Bankanın müşterilerine ilişkin kişisel verileri hukuk bürolarına aktarmasının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” çerçevesinde olduğu; dolayısıyla Bankanın alacaklarının borçlu müşterilerden tahsilini sağlamak üzere Avukata hukuka uygun şekilde erişim yetkisi verildiğinin değerlendirildiği; ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda somut olayda Banka ile bağı olmayan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin kız kardeşinin cep telefonu numarasına erişim yetkisi verildiğinin anlaşıldığı, ancak Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğunun değerlendirildiği, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığı,
  • Avukatın ise Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla Bankanın verdiği talimatlar çerçevesinde onun adına kişisel verileri işlediği ve somut olayda veri işleyen sıfatını haiz olduğu,
  • Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS’ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı 

değerlendirmelerinden hareketle;

  • Banka tarafından ilgili kişinin kız kardeşinin cep telefonu numarasının Yasal Takip Sistemine kaydedilmesi işleminin ilgili kişinin açık rızasının alınması şartına dayanılarak yapılmadığı anlaşıldığından söz konusu kişisel verinin elde edilmesinin Kanunun 5 inci maddesine aykırı olduğu; diğer taraftan Bankanın söz konusu kişisel veriyi elde etmesinin akabinde kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının hukuka aykırı olduğu değerlendirilmekte olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 175.000 TL idari para cezası uygulanmasına,
  • Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS’ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı dikkate alındığında avukat hakkında yapılacak bir işlem olmadığına

karar verilmiştir.

11.08.2020: “İlgili kişinin, bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması”
Karar Tarihi : 11/08/2020
Karar No : 2020/608
Konu Özeti : İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin 05********4 numaralı cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından Umman’dan İzmir aktarmalı İstanbul’a uçak bileti satın alındığına dair bir SMS gönderildiği, ilgili kişinin mesajı görür görmez veri sorumlusunu aradığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu başvurusunu müteakiben veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişi adına 02.01.2020 tarihinde oluşturulmuş bir üyelik hesabı olduğunun görüldüğü, şikâyet tarihi olan 20.08.2019’a kadar ilgili kişiye ait herhangi bir üyelik hesabı ve bu hesap altında üyelik bilgisinin kayıtlarında yer almadığı,
  • Şikâyete konu PNR kapsamında yer alan ilgili kişiye ait tek kişisel verinin cep telefonu bilgisi olduğu, söz konusu PNR kaydına bu veri girişinin de bileti satın alan mobil uygulaması kullanıcısı tarafından yapıldığı, belirtilen ilgili kişinin telefon numarasının zorunlu veri girişi alanına değil tercihe bağlı olarak sunulan “ücretli SMS bildirimi” alanına bu kullanıcı tarafından girildiği ve SMS içeriğinin iletimi için yalnızca telefon numarasının hat operatörü ile paylaşıldığı,
  • PNR ile ilgili kişinin telefon numarasının sistemsel olarak eşleşmediği, mobil uygulama üzerinden bilet satışında ad, soyadı, cinsiyet, doğum tarihi, telefon numarası, e-posta ve ülke bilgisi girilmesinin zorunlu olduğu diğer yandan SMS bilgilendirme hizmetinin ise zorunlu olmadığı, dolayısıyla ilgili kişiye ait kimlik bilgilerinin ilgili PNR kapsamında işlenmediği,
  • İlgili kişiye ait kişisel verilerin üçüncü kişilerle paylaşımının veya üçüncü kişilerce bu verilere erişimin söz konusu olmadığı,
  • Bilet satın alımı sırasında girilen T.C. kimlik numaralarının doğruluğunun MERNİS üzerinden eşleştirilerek teyit edilmesine ilişkin bir sistem bulunmadığı ancak girilen numaranın mevcut bir numara olup olmadığını anlayan (Ulaştırma ve Altyapı Bakanlığı Sivil Havacılık Genel Müdürlüğü düzenlemeleri ile uyumlu olarak) bir algoritma kullanıldığı

ifade edilmiştir.

Bu savunma üzerine Kurum tarafından veri sorumlusundan, mobil uygulama vasıtasıyla alınan bilete ait PNR numarasının, ilgili kişinin iletişim bilgileri ile eşleşmediği hususunu tevsik edici mahiyette bilgi ve belgelerin Kuruma sunulması istenilmiş olup veri sorumlusu tarafından verilen yanıtta; ilgili kişiye ait olmayan biletleme işlemindeki uçuş rezervasyonu oluşturulurken işlemi yapan kişi tarafından bilet bilgilerinin ücretli SMS olarak iletilmesi tercihinin işaretlendiği ancak ücretli SMS’in gönderileceği telefon numarasının rezervasyonda kayıtlı iletişim numarasından farklı olarak girildiği, bu numaranın da ilgili kişiye ait telefon numarası olduğu hususu belirtilmiş ve bu hususa dayanak olan bilgi ve belgeler Kuruma ulaştırılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi gereğince “kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlandığı, bu kapsamda ilgili kişiye ait telefon numarasının, adı- soyadı ve TC kimlik numarası ile eşleştirilerek saklandığından ve kimliği belirlenebilir gerçek bir kişiye ulaşılması sonucu doğurduğundan kişisel veri niteliğinde olduğu, ancak somut olayda ilgili kişiye ait telefon numarasının kendisine ait herhangi bir kayıtla eşleşmediği aksine sehven yazılmış olan numaranın bileti satın alan kişi tarafından veri sorumlusu sistemlerine girildiğinin anlaşıldığı,
  • Söz konusu bilgi ve belgelerin incelenmesi neticesinde, veri sorumlusu kanalları üzerinden bilet almakta olan 05*******2 telefon numarasının kullanıcısı gerçek kişinin satın aldığı biletle ilişkili olarak ilgili kişiye ait 05********4 telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığı,
  • değerlendirmelerinden hareketle;
  • Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanunun 12 nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına,
  • İlgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

30.06.2020: “Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi”
Karar Tarihi : 30/06/2020
Karar No : 2020/507
Konu Özeti : Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi

Kuruma intikal eden şikayette; ilgili kişinin vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep ettiği fakat talebinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesi ile 5502 sayılı Sosyal Güvenlik Kurumu Kanununun 35 inci maddesinin beşinci fıkrası dayanak gösterilerek ve 4721 sayılı Türk Medeni Kanununa ilişkin sükna hakkı, intifa hakkı ve nafaka alacağının devredilmediği belirtilerek reddedildiği, ancak bu hususların talebi ile hiçbir ilgisinin olmadığı, ölen kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş mirasçılara geçtiği, hukuki varlığı sona eren ölen bir kişinin 6698 sayılı Kanuna dayanılarak gerçek kişi ve ilgili kişi kavramları ile ilişkilendirilmesinin fiilen ve hukuken söz konusu olmadığı, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi göz önüne alındığında verilerin sadece yargı yolu ile alınması gerektiğine ilişkin açık bir düzenleme, yöntem ya da kısıtlama bulunmadığı,  veri sorumlusu kamu kurumu tarafından verilen yanıtta Kişisel Sağlık Verileri Hakkında Yönetmeliğin yalnızca Sağlık Bakanlığını bağladığının ifade edildiği ancak, bir yönetmeliğin yalnızca onu çıkaran Bakanlığı bağlayabileceğinin düşünülemeyeceği, bu yönetmeliğin vatandaşı doğrudan ilgilendiren ve idarenin uygulaması gereken açık bir düzenleme olduğu hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir. 

İlgili kişinin dilekçesi ekinde yer alan veri sorumlusu kamu kurumu tarafından ilgili kişiye verilen cevap yazısında; 

  • 5502 sayılı Kanunun 35 inci maddesinin beşinci fıkrasında; “Bu Kanun ve diğer mevzuatla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati veya e-devlet uygulaması üzerinden kimlik teyidi ile verilen izni olmadan gerçek veya tüzel kişilerle paylaşamaz. … Kurum, kişisel sağlık verilerini kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi  ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi halinde Sağlık Bakanlığı ile paylaşır….” hükümlerine yer verildiği, 
  • Ayrıca veri sorumlusu kamu kurumunun hukuk müşavirliğinden alınan görüşte;“… bir kişinin yaşamı sırasında üçüncü kişilerden bir çok hak ve alacağı olabilir. Bu haklardan intifa hakkı, sükna hakkı, nafaka alacağı gibi hak ve alacaklar hak sahibi kişinin ölümü ile kendiliğinden sona erer. Bu nedenle kendiliğinden sona eren bu tür hak ve alacaklar mirasçılara geçmez. … Bu itibarla, ölen kişinin mirasçılarına kişisel verilerinin… verilmesinin hukuken mümkün olmadığı ancak dava konusu yapılması durumunda mahkeme kanalıyla istenmesi halinde … verilmesinin uygun olacağı”na ilişkin mütalaa verildiği, 
  • Sağlık Bakanlığı tarafından çıkarılan Yönetmelik hükümlerinin normlar hiyerarşisi yönünden Sağlık Bakanlığını bağladığı, bu nedenlerle ilgili kişinin babasına ilişkin kişisel sağlık verilerinin ancak yargı makamları tarafından istenmesi halinde verilebileceğinin 

ifade edildiği görülmüştür. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Kanunun gerekçesinde; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı, bu sebeple, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler olarak değerlendirildiği,
  • 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
  • 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin birinci fıkrasının; “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.” hükmünü amir olduğu, 
  • Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile; 

    -6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine,
    -Öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin 1 inci fıkrasında “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir” hükmü kapsamında … vefat eden eşi … yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin bilgilendirilmesine…karar verilmiştir.
    ” 

değerlendirmelerinden hareketle, 

  • İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir
25.06.2020: “İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması”
Karar Tarihi : 25/06/2020
Karar No : 2020/494
Konu Özeti : İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kendisine ait kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması

Kuruma intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu, kamera görüntülerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında kişisel veri niteliğini haiz olduğu ve Kanunun 5 inci maddesi uyarınca kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin silinmesi talep edilmiştir. 

Şikayet dilekçesi ekinde yer alan veri sorumlusu tarafından ilgili kişiye verilen cevapta; ilgili kişinin daha önceden imzaladığı bilgilendirme metni kapsamında aktarma merkezinde kamera kaydının yapıldığına ilişkin ilgili kişinin bilgilendirildiği, veri sorumlusu tarafından kamera kayıtlarının ilgili kişinin imzaladığı bu aydınlatma bildirimine istinaden hukuken geçerli sebeplere dayanılarak işlendiği, söz konusu kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin feshedilmesine ilişkin delil olarak mahkemeye sunulduğu belirtilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı kararı ile,

  • Kanunun amacının; kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile bilgi güvenliğinin korunması ve ayrıca kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu,  
  • Kanunun kapsamına ilişkin 2 nci maddesi uyarınca; Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı, 
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olduğu; buna göre maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği ve buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uygun işlenebileceği,
  • İlgili kişinin Kuruma ilettiği şikayet başvurusundan, bahsi geçen kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin haklı nedenle feshedildiğine dair delil olmak üzere işveren vekili tarafından mahkemeye sunulduğunun anlaşıldığı, 
  • Veri sorumlusu tarafından ilgili kişinin başvurusuna cevap olarak iletilen ihtarname örneğinde, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği ve Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca taraflar arasında görülen işe iade davasında, iş akdinin haklı nedenle fesih sebebinin kanıtlanması amacıyla mahkemeye sunulduğunun açıklandığı,
  • 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı 119 uncu maddesinin;
     “(1) Dava dilekçesinde aşağıdaki hususlar bulunur: 
    a) Mahkemenin adı. 
    b) Davacı ile davalının adı, soyadı ve adresleri. 
    c) Davacının Türkiye Cumhuriyeti kimlik numarası. 
    ç) Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. 
    d) Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri. 
    e) Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri.
    f) İddia edilen her bir vakıanın hangi delillerle ispat edileceği. 
    g) Dayanılan hukuki sebepler. 
    ğ) Açık bir şekilde talep sonucu. 
    h) Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.
    (2) Birinci fıkranın (a), (d), (e), (f) ve (g) bentleri dışında kalan hususların eksik olması hâlinde, hâkim davacıya eksikliği tamamlaması için bir haftalık kesin süre verir. Bu süre içinde eksikliğin tamamlanmaması hâlinde dava açılmamış sayılır.

    hükmünü haiz olduğu,
  • 6100 sayılı Kanunun “Cevap dilekçesinin içeriği” başlıklı 129 uncu maddesinde; 
    (1) Cevap dilekçesinde aşağıdaki hususlar bulunur: 
    a) Mahkemenin adı. 
    b) Davacı ile davalının adı, soyadı ve adresleri; davalı yurt dışında ise açılan dava ile ilgili işlemlere esas olmak üzere yurt içinde göstereceği bir adres. 
    c) Davalının Türkiye Cumhuriyeti kimlik numarası. 
    ç) Varsa, tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. 
    d) Davalının savunmasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri.
    e) Savunmanın dayanağı olarak ileri sürülen her bir vakıanın hangi delillerle ispat edileceği. 
    f) Dayanılan hukuki sebepler. 
    g) Açık bir şekilde talep sonucu. 
    ğ) Davalının veya varsa kanuni temsilcisinin yahut vekilinin imzası.
    (2) 121 inci madde hükmü cevap dilekçesi hakkında da uygulanır.
    ” 
    hükmünün yer aldığı, 
  • Bu kapsamda Kuruma iletilen şikayet başvurusundan, 6100 sayılı Hukuk Muhakemeleri Kanunu uyarınca hangi unsurları barındırması gerektiği belirlenen cevap dilekçesinde veri sorumlusunun savunmaya yönelik dayandığı vakıaları beyan dilekçesiyle mahkemeye sunduğunun anlaşıldığı, bu çerçevede Kanunun 8 inci maddesine uygun olarak Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki;  “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca söz konusu kamera kaydının mahkemeye sunulmasının hukuka uygun bir veri işleme faaliyeti olduğu, 
  • İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği” beyanı çerçevesinde değerlendirme yapıldığında; veri sorumlusunun ilgili kişinin açık rızasının alındığını tevsik edici belgeyi sunmadığı,  ancak veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar” düzenlemesinin “Posta gönderilerinin görüntüleme cihazları ile kontrolü” başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, “Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.” hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” hukuki sebebine uygun olarak işleme yaptığı

değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.  

13.02.2020: “İlgili kişinin, veri sorumlusu bir banka nezdindeki kişisel verileri olan hesap ve kiralık kasa bilgilerinin aktarılması”
Karar Tarihi : 13/02/2020
Karar No : 2021/118
Konu Özeti : İlgili kişinin veri sorumlusu bir banka nezdindeki kişisel verileri olan kiralık kasa bilgilerinin aktarılması

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişiye karşı İcra ve İflas Kanunu hükümlerine aykırı ve haksız bir şekilde icra takibine geçildiği, Tebligat Kanununa aykırı tebligat hileleri yapılarak ilgili kişi adına ödeme emrinin kesinleştirildiği, bunun üzerine şikayete konu bankaya birinci haciz ihbarnamesi gönderildiği ve Bankanın şubelerinden birinde yer alan kiralık kasasına fiili haciz uygulandığı, ayrıca icra takibinde borçlu konumunda olan ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin resmi olmayan yollarla ele geçirildiği, kimse tarafından bilinmeyen kişisel verisi olan banka hesap ve kiralık kasa bilgisinin paylaşıldığı hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamında ilgili kişinin hesap ve kiralık kasa bilgilerinin işlenip işlenmediği, işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığı, yurt içi ve yurt dışındaki üçüncü kişilere aktarma yapılıp yapılmadığı hususlarının tespiti ile hukuka aykırılıklar nedeniyle veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup verilen cevabî yazıda;

  • İlgili kişi hakkında İstanbul …. İcra Dairesince 2019/… sayılı dosya ile icra takibinin başlatıldığı, icra takibi sürecinde borçluların bankalar nezdindeki hak ve alacakları üzerine haciz tatbik etmek üzere İcra ve İflas Kanununun (İİK) 89 uncu maddesi uyarınca bankalara haciz ihbarnameleri gönderilmesi yönteminin uygulandığı, bu kapsamda yirmi iki banka ile birlikte kendi bankalarına da birinci haciz ihbarnamesi gönderildiği, bankalarının üçüncü kişi konumunda bulunduğu, icra takibinin haksız olduğu savının muhatabının kendileri olmadığı, bankanın icra takiplerinin haklılık ve hukukilik denetimini yapmak gibi bir sorumluluğunun bulunmadığı, bankanın borçlunun alacaklı tarafından bilinen bir hesabı olmaması halinde, sistemde kayıtlı bankalara icra dosyasından ihbarname gönderilebildiği, ilgili kişinin hesap bilgilerinin, takip alacaklısına banka tarafından iletilmesinin söz konusu olmadığı, birinci haciz ihbarnamesine cevap verildiği, birinci haciz ihbarnamesine cevap verilmesinin her gün binlercesi yapılan işlemlerden olduğu, ilgili kişinin hesaplarının yer aldığı banka şubesi çalışanlarının anılan işlem süreçlerine katılmadığı, kiralık kasa haczi ve çilingir marifetiyle açılma işlemleri için alacaklı tarafından altı banka nezdinde talepte bulunulduğu ve İcra Müdürlüğü tarafından iki bankada haciz kararı verildiği, İcra İflas Kanununun 367 nci maddesi uyarınca Bankanın yasal yükümlülüklerini yerine getirdiği

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/118 sayılı kararı ile;

  • Kanunun amacının kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile kişisel veri güvenliğinin korunması ve ayrıca kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu,
  • Diğer taraftan; kişisel verilerin işlenme şartlarının belirlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı,
  • İcra Dairelerinin 2004 sayılı İcra ve İflas Kanununun 1 inci maddesinde düzenlenen kanunen yetkili mercilerden olduğu, haciz işleminin, belli bir para alacağının ödenmesini sağlamak için borçluya ait mal ve haklara icra dairesi tarafından el konulması olarak tanımlandığı, haciz işlemlerini, alacaklının haciz istemi üzerine yetkili icra dairelerinin yerine getirdiği, somut olayda, haciz işleminin yetkili İcra Dairesi tarafından gerçekleştirildiği, yine, ilgili kişiye ödeme emrinin tebliğinin İcra Dairesi tarafından 7201 sayılı Tebligat Kanununa göre yapıldığı,
  • Bu anlamda ilgili kişinin şikâyet başvurusunda belirttiği gibi haksız bir şekilde icra takibine geçildiği, haczin haksız olduğu ve tebligatın Tebligat Kanunu hükümlerine aykırı yapıldığı iddialarının veri sorumlusu tarafından yapılmış işlemlere ilişkin olmadığı, İcra Dairesi tarafından yasal olarak yapılmış işlemler ile ilgili olduğu, veri sorumlusu bankanın icra ve iflas hukuku bağlamında üçüncü kişi konumunda olduğu,
  • Yine şikâyetçinin başvurusunda belirttiği söz konusu İcra Hukuk Mahkemesinin haciz işleminden sonraki tarihte, tebligatın usulsüz olduğu ve itiraz ile takibin kaldırılması kararı dolayısıyla icra takibinin ve haczin yasal dayanağı olmadığı iddiasının, şikâyet edilen veri sorumlusunun yasal yükümlülüğünden kaynaklanan kiralık kasa bilgisinin paylaşılmasına ilişkin olmadığı, Kurumun görev alanı ve kişisel verilerin korunması mevzuatı kapsamında bulunmadığı,
  • Öte yandan, 2004 sayılı İcra ve İflas Kanununun “Borçlunun mevcudu hakkında malümat vermek mecburiyeti” başlıklı 367 nci maddesinin “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malümatı hakiki ve hükmi her şahıs derhal vermeğe ve talep halinde mevcudu bu dairelere teslime mecburdur.” hükmü nedeniyle veri sorumlusunun borçlunun kişisel verilerini İcra Dairesine vermekle yükümlü olduğu, diğer bir ifade ile bankanın, bankacılık işlemleri anlamında ilgili kişinin kişisel verilerini işlediği, bu kapsamda veri sorumlusu sıfatını haiz olduğu ve kişisel veri olan hesap ve kiralık kasa bilgilerini İcra ve İflas Kanununun ilgili hükmü dolayısıyla İcra Dairesine aktardığı,
  • Veri sorumlusunun cevap yazısında da belirttiği üzere, uygulamada haciz işleminin aşamalarından haciz ihbarnamesi gönderilmesinde icra daireleri tarafından mevzuata uygun olarak borçlunun alacaklı tarafından bilinen bir hesabının olmaması halinde, sistemde kayıtlı tüm bankalara haciz ihbarnameleri gönderildiği ve veri sorumlusunun ihbarname gönderilen ilgili bankalardan biri olduğu,
  • Yine, İcra İflas Kanununun “Taşınır ve taşınmaz malların haczi” başlıklı 85 inci maddesinde “Borçlunun kendi yedinde veya üçüncü şahısta olan taşınır mallarıyla taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur.” hükmünün yer aldığı,
  • Aynı Kanunun 89 uncu maddesi uyarınca da malı elinde bulunduran üçüncü şahsın bundan böyle taşınır malı ancak icra dairesine teslim edebileceği, bu çerçevede ve ilgili Kanunun 367 nci maddesi hükmü nedeniyle, somut olayda veri sorumlusunun kiralık kasa bilgilerini icra dairesine aktarmasının ve haciz işlemi yapılmasının Kanunda açıkça öngörülen bir yükümlülük olduğunun anlaşıldığı,
  • Veri sorumlusunun cevap yazısından, ilgili kişi tarafından öne sürüldüğü şekliyle kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiği iddiasına karşılık; alacaklı vekili, icra memuru ve veri sorumlusunun Şube yöneticisi, Operasyon yetkilisi ve diğer personelin ilk kez haciz işlemi sırasında karşılaştığının, alacaklı vekili ve memur tarafından ilgili kişinin Şube nezdinde kiralık kasası olup olmadığının sorulması üzerine sistem üzerinden tespit yapıldığının ve polis nezaretinde kiralık kasanın çilingir marifetiyle açıldığının anlaşıldığı, bu noktada İcra ve İflas Kanununa ve yasal usule uygun hareket edildiği

değerlendirmelerinden hareketle;

  • Tebligat ve icra iflas mevzuatı yönünden inceleme yapıldığında, veri sorumlusu olarak şikâyet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve iflas hukuku bakımından üçüncü kişi konumunda olduğu,
  • Kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı,
  • Veri sorumlusu tarafından, ilgili kişinin kişisel verisi olan hesap ve kiralık kasa bilgilerinin, 2004 sayılı İcra İflas Kanununun 89 uncu ve 367 nci madde hükümleri çerçevesinde Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “hukuki yükümlülüğün yerine getirilmesi” şartına dayalı olarak Kanunun 8 inci maddesine uygun olarak icra iflas mevzuatı çerçevesinde aktarıldığı

hususları dikkate alındığında mezkûr iddialarla ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

13.02.2020: “İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 13/02/2020
Karar No : 2020/120
Konu Özeti : İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişilerin çalışmakta olduğu mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenlenen “Vergi Tekniği Raporunda” (Rapor) kendileri ile ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilerek, veri sorumlusu ile ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Bu kapsamda, başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan şikâyete konu Raporda adı geçen şikâyetçilerin yapılan vergi incelemesinin konusu olup olmadığı; şikâyetçilerin şahıslarının vergi incelemesinin konusu olmamasına rağmen banka hesap hareketlerine, mevduat bilgilerine, para yatırma ve çekme işlemlerine bakılmış olması halinde bunun hangi yasal gerekçelerle yapıldığı hususlarının açıklanması istenilmiştir. Veri sorumlusundan alınan cevabi yazıda;

  • Vergi Denetim Kurulu Maltepe Küçük ve Orta Ölçekli Mükellefler Grup Başkanlığının görevlendirme yazılarında, mükellef şirketin 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesinin istendiği,
  • Herhangi bir hazine zararı doğmaması adına kapsamlı bir araştırma yapıldığı ve yapılan araştırmada, mükellefin banka hesaplarında normal hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma işlemlerinin tespit edildiği; söz konusu işlemleri mükellefin %100 ortağı olan şahıs ve bu şahıs tarafından kurumu temsile vekil tayin edilen şikayetçi ilgili kişilerin gerçekleştirdiği,
  • İlgili kişiler tarafından yatırılan paraların yine aynı gün içinde çek keşide edilmek suretiyle borcun ödenmesinde kullanıldığı; yapılan araştırmada, çekin mükellef şirket tarafından borçluya verildiği gün birçok firma tarafından, tek elden çıkmış gibi ciro edildiği ve aynı gün para yatırılan banka şubesinden, herhangi bir mükellefiyeti olmayan alakasız kişiler tarafından tahsil edildiğinin tespit edildiği,
  • Ciro silsilesinde yer alan firmalar hakkında olumsuz tespitler bulunması üzerine 213 sayılı Vergi Usul Kanununun 3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak üzere 178 sayılı Maliye Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 39 uncu maddesi ile 31/10/2011 tarihli ve 28101 sayılı Resmi Gazetede yayımlanan Vergi Denetim Kurulu Yönetmeliğinin 80 inci maddesine dayanılarak hazırlanan “Vergi İncelemeleri ile İlgili Bilgi Taleplerinde Uyulacak Usul ve Esaslara İlişkin Yönerge”nin 6 ncı maddesi hükmü gereğince ilgili kişilerin, sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda bulunan hesapları hakkında bilgi talebinde bulunulduğu,
  • Banka hesaplarının incelenmesi neticesinde şüphelerin yerinde olduğunun görüldüğü, mükellef şirketin çekleri tahsil edilir iken, tahsil edilen tutarlar bazında, ilgili kişiler tarafından şahsi banka hesaplarına kimi zaman aynı tutar kimi zaman ise farklı tutarların geri yatırıldığının tespit edildiği ve pek çok çekin tahsilatı sırasında ilgili kişilerin aynı şubede bulunup işlem gerçekleştirdiğinin anlaşıldığı,
  • Bakanlık Vergi Müfettişlerinin, yürüttükleri vergi incelemeleri ile ilgili bilgi istemelerinin esas olduğu, müfettiş tarafından istenen bilgilerin gerek mükellef şirket tarafından adı geçen iki şahsa vekâlet verilmesi gerek incelenen mükellefin işlemlerinde önemli bir yer teşkil etmesi nedenleriyle, incelemenin dışına çıkılması ve ilgisiz kişilerin banka hesaplarının istenmesi anlamını taşımadığı, diğer bir deyişle yapılan işlemin yasal olduğu

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/120 sayılı Kararı ile,

  • 213 sayılı Vergi Usul Kanununun (213 sayılı Kanun) “Vergi Kanunlarının uygulanması ve ispat” başlıklı 3 üncü maddesinin B fıkrasına göre,  vergiyi doğuran olay ve bu olaya ilişkin her türlü işlemin yemin dışındaki her türlü delille ispatlanabileceği, olayın özelliğine göre mutat olmayan bir durumun iddia olunması halinde ispat külfetinin iddia edende olduğu
  • 213 sayılı Kanunun “İncelemeye yetkililer” başlıklı 135 inci maddesine göre vergi incelemesinin; vergi müfettişleri, vergi müfettiş yardımcıları, ilin en büyük mal memuru veya vergi dairesi müdürleri tarafından yapıldığı,
  • Benzer şekilde, 213 sayılı Kanunun “İncelemede uyulacak esaslar” başlıklı 140 ıncı maddesinin yedinci fıkrası çerçevesinde vergi raporlarının hukuka aykırı olmaması bakımından katı ve çok aşamalı prosedürlerin öngörüldüğü,
  • Yine, anılan maddenin on birinci fıkrasının; “Bu maddede belirlenen esaslar çerçevesinde, vergi incelemelerinde uyulacak diğer usul ve esaslar, komisyonların teşekkülü ile çalışma usul ve esasları ve Merkezi Rapor Değerlendirme Komisyonu tarafından doğrudan değerlendirmeye tabi tutulacak vergi inceleme raporlarının tutarları, Maliye Bakanlığınca çıkarılan yönetmelikle belirlenir.” hükmünü; 178 sayılı “Maliye Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname”nin “Bakanlığın düzenleme görev ve yetkisi” başlıklı 39 uncu maddesi ise; “Bakanlık, kanunla yerine getirmekle yükümlü olduğu hizmetleri tüzük, yönetmelik, tebliğ, genelge ve diğer idari metinlerle düzenlemekle görevli ve yetkilidir.” hükmünü amir olduğu, 
  • Anılan düzenlemelere dayanılarak yayımlanan “Vergi İncelemelerinde Uyulacak Usul ve Esaslar Hakkında Yönetmelik”in (Yönetmelik) amacının, vergi incelemelerinde uyulacak usul ve esasları düzenlemek olduğu, Yönetmeliğin “Vergi inceleme görevinin verilmesi” başlıklı 6 ncı maddesi uyarınca; 
    (1) Vergi inceleme görevi yazı ile verilir. İnceleme görevi yazılarında; nezdinde inceleme yapılacak kişilere ve konulara ilişkin bilgilere, incelemenin türüne, gerekçesine, dönemine ve süresine ilişkin hususlara yer verilir. İnceleme görev yazısı ekinde yer alan belgeler, elektronik ortamda inceleme yapmaya yetkili olanlara gönderilebilir.
    (…)
    (3) Vergi incelemesi, sadece inceleme görev yazısında belirtilen konu ve döneme ilişkin olarak yapılır. İnceleme konusu ve dönemi ile ilgili olmayan herhangi bir hususa ilişkin mükelleften bilgi ve belge talebinde bulunulamaz. Yürütülmekte olan incelemeler sırasında, görevlendirme yazısında belirtilenden farklı bir konu veya döneme ilişkin eleştiriyi gerektiren hususların tespiti durumunda söz konusu durum inceleme görevini verenlere bildirilir. Görevlendirme yazısında yer alan inceleme konusuna giren tespitlerin, bu yazıda yer almayan farklı vergi türlerine ilişkin olarak da rapor yazılmasını gerektirmesi durumunda, bu husus yeni bir görevlendirme gerektirmez.
    (4) Yürütülmekte olan incelemeler sırasında farklı bir mükellef nezdinde inceleme yapılma ihtiyacı duyulduğunda durum gerekçeleri ile birlikte bağlı olunan birime bildirilir. (…)
    ” hükmünün düzenlendiği,
  • Diğer bir deyişle, vergi incelemesi esnasında görevlendirmede yer alandan farklı bir konu veya döneme ilişkin eleştiriyi gerektiren hususlar tespit edilirse, herhangi bir yeni görevlendirmeye gerek olmaksızın bu durum inceleme görevini verene bildirilerek o konuya ilişkin araştırma yapılabileceği, kaldı ki, Vergi Müfettiş Yardımcısı tarafından düzenlenen cevabi yazıda yapılan kişisel veri işleme faaliyetinin inceleme kapsamında kaldığının ifade edildiği,
  • Yönetmeliğin “İnceleme tutanakları” başlıklı 16 ncı maddesinde; 
    MADDE 16 – (…)
    (4) Tutanakta yer alan hususların vergi kanunları karşısında yapılması muhtemel işlemler bakımından ispatlama vasıtası olduğu ve yapılması muhtemel işlemlerin neler olduğu mükellefe izah edilir.
    (5) Vergi incelemesi yapmaya yetkili olanlar, ilgilileri tutanakları imzalamaları için zorlayamazlar. İlgililer tutanakları imzalamaktan çekindikleri takdirde tutanakta bahis konusu edilen olaylar ve hesap durumlarını ihtiva eden defter ve belgeler, nezdinde inceleme yapılandan rızasına bakılmaksızın alınır ve inceleme neticesinde tarh edilen vergiler ve kesilen cezalar kesinleşinceye kadar geri verilmez. İlgililer her zaman bu tutanakları imzalayarak defter ve belgeleri geri alabilirler.
    (6) Suç delili olan defter ve belgeler mükellefin rızasına bakılmaksızın alıkonulur. (…)
    ” 
    hükmüne yer verildiği,
  • Bu kapsamda, mükellef tutanakları imzalamaktan imtina etse dahi tutanakta yer alan olayları ve hesap durumlarını içeren defter ve belgelerin mükellefin rızası olmaksızın alıkonulacağı, benzer şekilde, suç delili niteliğinde olan defter ve belgelerin de mükellefin rızası olmaksızın alıkonulabileceği,
  • Öte yandan, Yönetmeliğin 17 nci maddesinin birinci fıkrasının (c) bendinde “vergilendirme ile ilgili olaylar ve/veya hesap durumları”nın vergi inceleme tutanaklarında yer alacağı hususunun da düzenlendiği,
  • Söz konusu Rapor bakımından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu ve bu kapsamda Bakanlığın veri sorumlusu; vergi müfettiş yardımcısının ise Bakanlığın çalışanı olduğu, Kanunun 5 inci maddesinin (1) numaralı fıkrasında;  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı, vergi incelemesine ilişkin olarak bu incelemenin amacı ve gerçekleştirilmesine yönelik 213 sayılı Kanunda ve ilgili Yönetmelikte detaylı düzenlemelere yer verildiği, bu çerçevede, somut olay bakımından yapılan incelemede işlenen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında işlendiğinin değerlendirildiği, 
  • Öte yandan, Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasının (c) bendinde kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması halinde, Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağının hükme bağlandığı,
  • Bu kapsamda incelemeye konu edilen yazı bağlamında Kanunun “İstisnalar” başlıklı 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanıp uygulanmayacağı değerlendirildiğinde kamu kurumu niteliğini haiz Bakanlığın, 213 sayılı Kanunun verdiği yetkiye dayanarak denetleme görevi kapsamında kişisel verileri işlediğinin anlaşıldığı, somut olayda veri işleme şartları bulunmakla birlikte kısmi istisna olarak sayılan Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanacak olması dolayısıyla söz konusu kişisel veri işleme faaliyetleri bakımından Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16 ncı ve zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci maddelerinin uygulama alanı bulmayacağı ancak veri sorumlusunun Kanunun diğer hükümleri ile bağlı olacağı,
  • Ayrıca, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu, 
  • Bakanlığın cevabi yazısı ve eki evrakta, üç farklı görevlendirme yazısına istinaden, mükellef kurumun 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesi sürecinde; mükellef kurumun banka hesaplarında normal hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma işlemlerinin gerçekleştirildiğinin ve bu işlemlerin de mükellef kurumun %100 ortağı olan şahıs tarafından kurumu temsile vekil tayin edilen ilgili kişiler tarafından gerçekleştirildiğinin tespit edilmesi üzerine, 213 sayılı Kanunun 3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak amacıyla, adı geçen kişilerin sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda bulunan hesaplarının inceleme sürecine dâhil edildiğinin belirtildiği, bu çerçevede, başvuran ilgili kişilerin kişisel verilerinin hukuka ve ölçülülük ilkesine uygun olarak işlendiği,
  • 213 sayılı Kanunun “Vergi mahremiyeti” başlıklı 5 inci maddesi uyarınca vergi muameleleri ve incelemeleri ile uğraşan memurların görevleri dolayısıyla, mükellefin ve mükellefle ilgili kimselerin şahıslarına, muamele ve hesap durumlarına, işlerine, işletmelerine, servetlerine veya mesleklerine ilişkin olmak üzere öğrendikleri sırları veya gizli kalması lazım gelen diğer hususları ifşa edemeyecekleri ve kendilerinin veya üçüncü şahısların nef'ine kullanamayacakları hususunun hüküm altına alındığı, ayrıca, bahsi geçen yasağın bu kişiler görevlerinden ayrılsalar dahi devam edeceği de aynı hüküm altında vurgulandığı, ilgili düzenlemeden de görüleceği üzere, inceleme kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği gibi; bu görevi ifa eden memurların da konuya ilişkin sır saklama yükümlülüğü bulunduğu, başvuran ilgili kişilerin mükellef kurumun %100 ortağı olan kişi tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirileceği, dolayısıyla, başvuranlara ait kişisel veri olan hesap numaralarının incelemeye konu olabileceği 

değerlendirmelerinden hareketle,

  • Vergi Usul Kanunu ve sair mevzuat hükümleri de incelendiğinde, şikâyete konu veri işleme faaliyetinde; vergi incelemesi kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği, bu nedenle ilgili kişilerin mükellefin %100 ortağı tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirilebileceğine, bu noktada tüm mükellef şirket çalışanlarının değil şirketi temsile yetkili kişilerin mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerinin işlenmesinin ölçülülük ilkesine uygun olduğuna, bu çerçevede, Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca yapılan kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğü çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.
30.01.2020: “Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi”
Karar Tarihi : 30/01/2020
Karar No : 2020/78
Konu Özeti : Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi

İlgili kişinin Kuruma intikal eden şikayetinde özetle; müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.

Söz konusu şikâyeti takip eden süreçte ilgili kişinin Kuruma intikal eden ek dilekçesinde ise özetle; veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini, kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar üçüncü kişilerle paylaştığı, kendisinin Kuruma göndermiş olduğu dilekçe aracılığıyla veri sorumlusundan şikâyetçi olduğu belirtilerek veri sorumlusu hakkında Kanun çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin talebine istinaden tarafına kredi kartı tahsis edildiği, müşterinin ayrıca “…. Adi Ortaklığı” firma unvanı ile firma ortağı olarak veri sorumlusunun ticari müşterisi olduğu, şikâyet yazısında üçüncü bir kişinin e-postası olarak ifade edilen y…@gmail.com e-posta adresinin, aynı zamanda veri sorumlusunun kayıtlarında müşterinin ortağı olduğu firmanın iletişim adresi olduğu, firmanın talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartlarının ekstrelerinin söz konusu e-posta adresine gönderilmekte olduğu,
  • Mevcut durumda ilgili kişinin kredi kartı ekstrelerinin veri sorumlusu nezdinde kayıtlı h…@gmail.com e-posta adresine gönderilmekte olduğu, ilgili kişinin şikâyetinde belirttiği kredi kartı ekstresinin, y…@gmail.com e-posta adresine gönderilmesine ilişkin yapılan inceleme sonucunda; ilgili şube personelleri tarafından, başvuru sahibinin ortağı olduğu firma ve kendi adına düzenlenen ticari kredi kartlar için e-ekstre gönderimine yönelik tanımlamalar yapılırken, sehven müşterinin bireysel ürünü olan kredi kartı ekstresi için de e-ekstre talimatının güncellendiğinin belirlendiği, bu nedenle e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderildiği, başvuru sahibinin şube aracılığıyla ulaşan talebi doğrultusunda e-posta adresinin güncelleme işleminin yapıldığı ve kendisinin sonraki dönemlere ait kredi kartı ekstrelerinin h…@gmail.com e-posta adresine yönlendirildiği,
  • İlgili kişinin şikâyet başvurularının veri sorumlusu tarafından işleme alındığı ve ilgili birime yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının belirlenmesinden sonra, ilgili kişinin şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiği, ancak e-posta güncelleme işleminin sehven atlandığının anlaşıldığı, şube tarafından e-ekstre gönderiminin h…@gmail.com e-posta adresine yapılması yönünde oluşturulan talep doğrultusunda gerekli güncellemenin yapıldığı ve başvuru sahibinin e-posta adresine ekstrenin gönderileceğine ilişkin bilgilendirmenin yapıldığının belirlendiği,

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi olarak tanımlandığı,
  • Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve buna göre kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise belirtilen şartlardan kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • İlgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesinin zorunluluk arz ettiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının önem arz ettiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olmasının şart olduğu, açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanamayacağı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Kanunun “kişisel verilerin işlenmesi” başlıklı 5 inci maddesi ve “kişisel verilerin aktarılması” başlıklı 8 inci maddesi hükümleri çerçevesinde; tarafların Kuruma iletmiş oldukları yazılarında yer alan beyanları incelendiğinde; veri sorumlusunun, ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail adresine (y…@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı gerçekleştirdiği sonucuna varıldığı,
  • Ayrıca ilgili kişinin, veri sorumlusunun Genel Müdürlüğüne konuya ilişkin hem e-posta hem de dilekçe aracılığıyla başvuruda bulunduğunu, ancak belirtilen tarihin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığını iddia ettiği, veri sorumlusunun, başvuru sahibinin, şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiğini ifade ettiği görülmekle beraber bu noktada Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrasında yer alan; “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünden hareketle, ilgili kişinin, veri sorumlusu Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini telefonla aramak suretiyle bildirmesinin Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığına, bu kapsamda Kanunun 15 inci maddesinin beşinci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında Kanun 13 üncü maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanunda saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari para cezası uygulanmasına

karar verilmiştir.

11.02.2020: “Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı”
Karar Tarihi : 11/02/2020
Karar No : 2020/108
Konu Özeti : Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı hakkında

Kuruma intikal eden şikayette özetle; 

  • İlgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalıştığı ve çalışma ilişkisini veri sorumlusu ile mutabık kalarak sonlandırmak suretiyle başka bir şirkette işe başladığı, 
  • İlgili kişinin yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaların kendilerine iletildiği belirtilerek ilgili kişinin cevabının talep edildiği,
  • İlgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığının öğrenildiği, 
  • Bunun üzerine konuyla ilgili olarak veri sorumlusu şirkete ihtarname gönderildiği, ilgili kişinin yeni çalışmaya başladığı şirketin bir talebi olmamasına rağmen ilgili kişinin ailesi ve veri sorumlusu ile olan maddi ilişkilerinin, veri sorumlusu tarafından söz konusu şirkete aktarılmasına esas teşkil eden bir sebep bulunmaması veya ilgili kişinin çıkarları ve makul beklentilerinin göz önüne alınmamasının, bu konuda herhangi bir haklı gerekçeye dayanılmamasının, “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği, yine söz konusu şirket ile ilgili kişinin açık rızası olmaksızın kişisel verilerinin paylaşılmasındaki amacın anlaşılamadığı ve tüm şartlar göz önüne alındığında hukuken korunan meşru bir amaç güdülmediğinin de aşikâr olduğu, bu durumun “belirli, açık ve meşru amaçlar için işlenme ilkesi”  ile uyumlu olmadığı, Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin üçüncü kişilere aktarılamayacağının hüküm altına alındığı, bu kapsamda ilgili kişinin kendisi ve ailesine ilişkin kişisel verilerinin üçüncü kişilerle paylaşılmasına yönelik açık veya zımni rızasının bulunmadığı, 
  • İlgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu tarafından Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından “ilgili kişinin kendisi tarafından alenileştirilmiş olma” koşuluna dayandırıldığı, ancak ilgili kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu, ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı, 
  • Öte yandan Kanunun 12 nci maddesi kapsamında, veri sorumlusunun Kanunun kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı 

belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan (eski işveren) savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hem veri sorumlusuna hem de Kuruma yaptığı başvuru dikkate alındığında şirketlerinin olağan iş süreçlerine ilişkin veri işlemesine yönelik bir uyuşmazlık bulunmadığı, şikâyet konusunun eski çalışana (ilgili kişiye) ilişkin kişisel verilerin yeni işvereni ile paylaşılıp paylaşılmadığı ve paylaşılmış ise bu paylaşımın hukuki gerekçesi üzerinde toplandığı,
  • Bu kapsamda, ilgili kişinin yeni işvereni ile gerçekleştirdiği toplantıda gündeme gelen; eşinin ve çocuklarının yurtdışında yaşadığı ve kendisinin de bu ülkeye taşınacağı, ilgili kişinin maaş ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı şeklindeki bilgilerin neredeyse hiç birinin veri sorumlusu tarafından yeni işveren ile paylaşılmadığı,
  •  Pek çok sektörde olduğu gibi ilgili sektörde de yer alan insanların birbirlerini tanıdığı, sektörde yer alan şirketlere veya çalışanlara ilişkin gelişmelerin insanlar arasında konuşulabildiği, bu minvalde ilgili kişinin kendisi ile ilgili bilgileri sektörde yer alan diğer insanlara aktarmış olabileceği de göz önünde bulundurulduğunda; söz konusu toplantıda ilgili kişiye yöneltilen soruların, bu sorulara dayanak oluşturan verilerin ve bu verilerin kimden ne şekilde elde edildiğinin veri sorumlusunun bilgisi dâhilinde olmadığı, söz konusu verilerin şirketleri tarafından yeni işverene sağlandığı iddiasının tahmine dayalı ve şirketlerini zan altında bırakan bir iddia olduğu, ilgili kişi tarafından bu iddiaların gerçekliğini ortaya koyacak bilgi ve belgelerin tereddütsüz bir şekilde sunulması gerektiği,
  • Bununla birlikte; ilgili kişinin yeni şirketinde çalışmaya başladığına ilişkin duyurunun yeni işveren şirketin kurumsal hesabından duyurulduğu, söz konusu duyuruda ilgili kişinin daha önce veri sorumlusu bünyesinde direktör seviyesinde çalıştığı bilgisine yer verildiğinin fark edildiği, bu verilerin ilgili kişinin kendi iradesiyle ve iradesine uygun olarak alenileştirilen ve bu vesileyle tüm tarafların bilgisinde olan bilgiler olduğu, ancak bu bilginin gerçeği yansıtmadığı, ilgili kişinin veri sorumlusu nezdinde hiçbir dönemde bu seviyede üst düzey bir pozisyonda çalışmadığı, bu nedenle ilgili kişinin gerçeğe aykırı beyanlarının sebep olduğu bu durumdan yeni işverenin e-posta yoluyla haberdar edildiği,
  • Veri sorumlusu tarafından yeni işveren ile paylaşıldığı belirtilen bu bilgiler (ilgili kişinin şirketlerinde daha önce direktör seviyesinde çalışmadığı ve işten ayrılış sebebi) dışında ilgili kişiye ilişkin kişisel verilerin yeni işvereni ile paylaşılmasının söz konusu olmadığı, 
  • İlgili kişinin,  veri sorumlusunun adını kullanarak etik olmayan, hukuka ve gerçeğe aykırı bir bilgi ile işvereni nezdinde kendisi lehine haksız bir menfaat sağlaması, veri sorumlusunun haklarını ve menfaatlerini ihlal etmesi nedeniyle; ilgili kişinin yeni işvereni ile yapılan bilgi paylaşımı ile yalnızca gerçeğe aykırı olarak beyan edildiği anlaşılan hususların açıklığa kavuşması, bu durumun düzeltilmesi ve hukuki etkilerinin ortadan kaldırılmasının amaçlandığı,
  • İlgili kişinin yeni işvereni ile sınırlı bir veri paylaşımı olduğu ve bu bilgi paylaşımının yapılmasında;
    • Veri sorumlusunun adı kullanılarak etik olmayan, hukuka ve gerçeğe aykırı bilginin düzeltilmesi ve ihlalin kaldırılması bakımından şirketleri için,
    • Gerçeğe aykırı beyan ile menfaat temini nedeni ile mevzuattan kaynaklanan haklarının kullanılabilmesi bakımından yeni işveren için,
    • Gerçeğe aykırı beyan ile menfaat elde edilemeyeceği ve bu durumun aykırılık olarak kabul edilmesi bakımından 
  • kamusal anlamda korunmaya değer daha üstün bir menfaat bulunduğu,
  • Söz konusu üçüncü kişilere veri aktarımının hukuki dayanağını Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen kişisel veri işleme şartlarından  “(e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “(f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” nın oluşturduğu,
  • Veri sorumlusu tarafından alınan idari ve teknik tedbirlere yönelik açıklamalar kapsamında; bünyelerinde irtibat kişisinin atandığı, veri envanterinin hazırlandığı, kişisel verilerin korunmasına yönelik farkındalığı arttırmak için veri sorumlusu içerisinde tüm çalışanlara eğitimler verildiği, konuyla ilgili çok sayıda politika ve dokümanın hayata geçirildiği, savunma ekinde de yer verilen idari ve teknik tedbirler listesinde yer alan pek çok tedbirin uygulandığı

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı ile,

  • İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,
  • İlgili kişinin “çocuklarının ve eşinin uzun bir süredir yurtdışında yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin paylaşıldığı, ayrıca, ilgili kişinin veri sorumlusundan aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı” iddialarını doğrulayacak herhangi bir bilgi, belge ve benzeri dokümanın ilgili kişi tarafından Kuruma sunulmadığı, yalnızca veri aktarımının telefon görüşmesi ve iki adet e-posta ile gerçekleştiği bilgisinin verildiği,
  • Söz konusu e-posta yazışmalarının, şikâyet edilen veri sorumlusu tarafından savunma yazısı ekinde sunulmuş olduğu ve yazışmalardan, yalnızca ilgili kişinin eski işvereni şirkette hangi tarihler arasında hangi iş pozisyonlarında çalıştığı ve yeni işverenin ilgili kişinin işten ayrılma nedenine ilişkin soruya cevaben ailevi nedenlerden dolayı yurtdışına taşınacağı bilgisinin verildiğinin anlaşıldığı,
  • İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının yapıldığının anlaşıldığı,
  • İlgili kişinin veri sorumlusuna ayrılma nedenini “ailevi sebeplerden dolayı yurtdışına taşınma” ve yeni işverenine de daha önce çalıştığı iş pozisyonunu “Etik Direktörü” olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini de ihlal etmediği sonucuna varıldığı,
  • Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı, 
  • Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme şartına uygun olduğunun değerlendirildiği,
  • Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,
  • Ayrıca 4857 sayılı İş Kanununun 25/II-a maddesi gereğince “işçinin iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni yanıltması”nın haklı nedenle derhal fesih sebebi olarak hüküm altına alındığı, yine aynı Kanunun 426 ncı maddesinde “İşveren, işçinin isteği üzerine her zaman, işin türünü ve süresini içeren bir hizmet belgesi vermekle yükümlüdür. İşçinin açıkça istemde bulunması hâlinde, hizmet belgesinde onun iş görmedeki becerisi ile tutum ve davranışları da belirtilir. Hizmet belgesinin zamanında verilmemesinden veya belgede doğru olmayan bilgiler bulunmasından zarar gören işçi veya işçiyi işe alan yeni işveren, eski işverenden tazminat isteyebilir.” hükümlerinin yer aldığı,
  • Bu hükümler her ne kadar doğrudan yeni işvereni ve çalışanı ilgilendiriyor gibi görünse de, eski işveren için de talep olmasına gerek olmaksızın sorumluluk doğurduğu kanaatine varılmış olup veri sorumlusunun eski çalışanının kendi şirketinde çalıştığı iş pozisyonuyla ilgili yanlış bilgiyi düzelterek yeni işvereni bilgilendirme sorumluluğu hissetmesinin, makul ve olağan bir davranış olduğu sonucuna ulaşıldığı,
  • Diğer taraftan iş etiği açısından bakıldığında, aynı sektörde faaliyet göstermelerinin doğal sonucu olarak, veri sorumlusunun eski çalışanı hakkındaki yanlış bilgiden haberdar olduğu halde doğru bilgiyi yeni işvereni ile paylaşmamasının ahlak, iyi niyet ve dürüstlük kurallarına da uygun olmayacağının değerlendirildiği,
  • İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği 

değerlendirmelerinden hareketle;    

  • Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,
  • Bununla birlikte Kanunun “İlgili kişinin hakları” başlıklı 11 inci maddesi uyarınca, ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede ilgili kişinin talebi doğrultusunda “belirli tarihler arasında veri sorumlusu İnsan Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın” Kuruma sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb. dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

03.02.2021: “Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından bir hastanenin müşterilerinin kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 03/02/2021
Karar No : 2021/84
Konu Özeti : Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından ilgili kişilerin iletişim verilerinin hukuka aykırı olarak işlenmesi

Kuruma intikal eden bir şikâyette; başvuru sahibi Hastanenin, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneleri nezdinde kayıtlı bulunan hastalara ait telefon numaralarına, öncesinde hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak adına doktorun ismi ve soyismi başlığı altında geçiş yaptığı yeni hastanenin isim ve iletişim bilgileri ile başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği yönünde kendilerine pek çok şikâyet ulaştığından hareketle Hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiği iddiaları ile anılan STH’ler hakkında Kanun çerçevesinde gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusu STH’lerden savunmaları istenilmiş olup, 1. STH’nin cevabi yazısında özetle; söz konusu iddiaların gerçeği yansıtmadığı, olayla hiçbir şekilde bilgilerinin ve bağlantılarının olmadığı; 2. STH’nin cevabi yazısında ise özetle kendilerinin başvuruya konu olayda yalnızca SMS trafiğini taşıma konusunda servis sağlayıcı hizmeti sunmakta oldukları, kendilerinin geçmişte olan bu işlemle ilgili yapmış oldukları incelemeler sonrasında şikâyete konu kişisel veri işleme faaliyetinin geçmişte alt bayileri olan ve şu an bayileri olmayan 1. STH üzerinden gerçekleştiği, gönderilen SMS’lerin numaralarının kime ait olduğu, nereden temin edildiği sorumluluğunun hem aboneye ait hem de alt bayilerinin sorumluluğunda olduğundan dolayı bu konuda sorumlu tutulamayacakları ve bu hususun Bayi Sözleşmesinde “Bayi Yükümlülükleri” bölümünde de belirlendiği ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/84 sayılı Kararı ile,

  • 5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde ticari elektronik iletinin; “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler”, (ç) bendinde hizmet sağlayıcının; “Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişi” (d) bendinde aracı hizmet sağlayıcının; “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişi,” olarak tanımlanmış olduğu,
  • Mezkur kanunun “Aracı hizmet sağlayıcıların yükümlülükleri” başlıklı 9 uncu maddesinin birinci fıkrasında; “Aracı hizmet sağlayıcılar, hizmet sundukları elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içerikleri kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün yer aldığı, bu doğrultuda 2. STH’nin bir aracı hizmet sağlayıcı olarak değerlendirilmesi halinde, aracı hizmet sağlayıcının, haberleşme altyapısını kullanan hizmet sağlayıcısı tarafından sağlanan içeriği kontrol etmekle, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü kılınmamasından dolayı, somut şikâyet kapsamında, 2. STH yönünden Kanuna aykırılığın bulunmadığı,
  • Öte yandan aralarındaki anlaşma çerçevesinde Hastane ile 1. STH arasında, Hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin dördüncü fıkrasında “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmünün yer aldığı, 1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle mezkûr Kanun hükmünde öngörülen yükümlülüğe aykırı hareket etmiş olduğu,
  • Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,
  • 1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varıldığı

değerlendirmelerinden hareketle;

Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve 1. STH’nin Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına

karar verilmiştir.

09.02.2021: “İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/02/2021
Karar No : 2021/111
Konu Özeti : İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi

İlgili kişiden alınan şikâyet dilekçesinde özetle; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği; konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde SMS’leri gönderen Hukuk Bürosu Avukatından ve alacak sahibi Şirketten savunması istenilmiştir. 

Bu çerçevede alacak sahibi Şirketten alınan cevabi yazıda özetle;

  • Şirket bünyesinde yapılan inceleme sonucunda, Şirketin müşteri bilgilerini derlediği, temel veri tabanı programında, ilgili kişiye ait GSM numarası ile yapılan sorgulamada şikâyetçi adına herhangi bir abonelik kaydının bulunmadığının görüldüğü, ilgili kişinin başvurusu haricinde geçmişte ilgili kişi ile herhangi bir temaslarının bulunmadığı, ilgili kişinin yakını olduğu anlaşılan aboneyle ise aralarında icra süreci devam eden bir borç ilişkisinin olduğu, 
  • İlgili kişiye ait GSM numarasının, programlarında ve Yasal Takip Sisteminde (YTS) kayıtlı olmayıp YTS sisteminin not kısmında yazıldığı, netice olarak ilgili kişiye ait irtibat bilgilerinin ilgili kişinin başvurusundan önce Şirketin sistemlerinde bulunmadığı,
  • İlgili kişiye verilen yanıtta da belirttikleri üzere Şirket tarafından gerçekleştirilen olağan borç tahsilatında iki adımlı bir sürecin yürütüldüğü ve farklı hukuk ofislerinden bu kapsamda destek alındığı, ilk adımda faturası üç ay üst üste ödenmemiş olan üyeliklerin sahiplerine borç hatırlatması yapılması ve borç tahsilat sürecinde onlara yol gösterilmesi amacıyla dış kaynak hizmet sağlayıcı hukuk ofislerinden (İdari Hukuk Büroları) destek alındığı, 
  • Dış kaynak hizmet sağlayan hukuk ofislerinin, kendilerine “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kanuni veri işleme şartına dayalı olarak aktarılan ad, soyadı, birikmiş borç miktarı ve iletişim bilgilerine istinaden Şirkete borcu bulunan kişiler ile temas kurduğu ve borç hatırlatmaları yaptığı, ilgili hatırlatmalar sonucunda da borçların ödenmemesi durumunda ikinci adıma geçildiği, bu çerçevede söz konusu üyeliklere ilişkin borçların tahsil edilmesi amacıyla icra takiplerinin başlatılması ve bu süreçlerin takibi amacıyla yine dış kaynak hizmet sağlayıcı hukuk ofislerinin (İcra Hukuk Büroları) devreye girdiği ve icra takibi başlatılacağı hakkında borçlu üyelere bildirimler yapıldığı,
  • İlgili kişiye ait olduğu tespit edilen GSM numarasının Şirkete ait programda kayıtlı olmadığı ve söz konusu irtibat bilgisinin kısa mesaj gönderimi yapan ilgili Hukuk Bürosuna Şirket tarafından sağlanmadığı,
  • Nitekim Hukuk Bürosu tarafından ulaşılan ilgili kişinin irtibat bilgisinin ne şekilde elde edildiğine ilişkin incelemenin başvuru üzerine gerçekleştirildiği, bu incelemeler sonucunda ilgili kişiye ait olduğu beyan edilen GSM numarasının dosya idari takip sürecindeyken Şirketin dış hizmet sağlayıcısı olan diğer bir Hukuk Bürosu tarafından YTS sistemine bu Hukuk Bürosunun iş akdi feshedilmiş personeli tarafından alınan not ile girildiğinin görüldüğü,
  • Söz konusu büroların Şirketin dış kaynak hizmet sağlayıcıları olarak hizmet vermelerine rağmen, borç hatırlatma ve borçların icra takibi hizmetleri kapsamındaki veri işlemelerine ilişkin Şirketten doğrudan talimat almadığı, bu hizmetler kapsamında gerçekleştirdikleri veri işleme faaliyetleri açısından Şirketin veri işleyeni konumunda değil bağımsız birer veri sorumlusu durumunda oldukları,
  • Öte yandan Şirketin dış kaynak hizmet sağlayıcılarının müşteriler ile olan etkileşimlerinde Kanun başta olmak üzere tüm kişisel verilerin korunması mevzuatına uygun davranmalarına ilişkin her türlü hatırlatmanın düzenli olarak yapıldığı ve gerekli her türlü teknik ve idari tedbirin alındığı, bu kapsamda hukuk bürolarından aylık olarak talep edilen konuşma kayıtlarının Şirket tarafından incelendiği, abone dışındaki bir yakınına borç bilgilendirmesi yapılması durumunda uyarı ve bilgilendirme yapıldığı

ifade edilmiştir.

İlgili kişiye kısa mesaj gönderim işlemini yapan ilgili Hukuk Bürosu Avukatından alınan cevabi yazıda ise özetle; 

•    Kendisinin ilgili Şirketin bireysel üyelerinin faturalarından kaynaklanan ve bu üyeler tarafından ödenmemiş alacaklarının tahsili konusunda Şirketin icra takiplerini başlatmak suretiyle avukatlığını yaptığı,

  • Şirketin bireysel üyelerinin ödenememiş faturalarından kaynaklanan alacaklarını, sözleşmeli avukatlar aracılığıyla takip edebilmek amacıyla; dosyaları Yasal Takip Sistemine yükleyerek bu sistem üzerinden Avukatlık Bürolarına gönderdiği, 
  • Şirketin alacaklarını tahsil etmek üzere özetle iki aşamalı bir süreci sözleşmeli avukatları aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olduğu, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin müvekkil Şirket bilgi sisteminden YTS’ye aktarıldığı, idari takip aşamasında alacakların iki ay içinde telefon, mektup ya da SMS ile tahsil edilmesinin amaçlandığı, iki ay içerisinde dosya tahsilatla kapatılamamışsa, dosyanın o avukattan alınarak müvekkil Şirket merkezine çekilerek ilgili avukatlara icra takibi başlatmaları için gönderildiği, icra takibini yapan avukatın daha evvel o dosyayı idari takip aşamasında takip eden avukat olabileceği gibi icra takibi aşamasında başka bir avukatın da belirlenebileceği, sürecin tüm dosyalarda YTS üzerinden yürütüldüğü,
  • Şikayete konu dosyanın Şirket tarafından Bürolarına ilk kez 13/11/2018 tarihinde atandığı, dolayısıyla büro tarafından bu dosyanın varlığından 13/11/2018 tarihinde önce haberdar olma, dosyada herhangi bir işlem yapma, veri girme, bir not ya da telefon işlenmesinin teknik ve fiziki olarak imkansız olduğu, 
  • Dosyanın taraflarına icra takibi başlatılması için gönderilmeden önce idari takip süreci için diğer bir Avukatlık Bürosuna gönderildiği, şikayete neden olan GSM numarasının bu Avukatlık Bürosu çalışanı tarafından 16/07/2018 tarihinde YTS’ye işlendiği, yani bu verinin dosyanın bürolarına gelmesinden yaklaşık 4 ay önce işlendiği, bu hususun YTS’de kayıt altına alındığı,
  • Bilahare şikayetçi şahsın bu numaranın kendisine ait olduğunu Bürolarına bildirdiği 25/07/2019 tarihinde borçlu ile ilgisi olmadığı nazara alınarak büro çalışanı tarafından silindiği, bu itibarla bürolarına daha gelmeden dosyaya işlenmiş olan bir veriden dolayı büronun sorumlu tutulmasının mümkün olmadığı, 
  • Bu numaraya SMS gönderilme sebebinin dosyada numaranın işlenmiş olarak bürolarına gönderilmesi olduğu, numaranın YTS’ye neden işlendiğini bilmelerinin mümkün olmadığı, borçlu olan abone tarafından irtibat numarası olarak verilmiş veya sonradan şikâyetçiye devrolunmuş bir numara da olabileceği,
  • Bürolarına bir borçluya ait dosyada “Diğer GSM Nosu” olarak şikayetçinin numarasının işlenmiş vaziyette gelmesinden sonra bu GSM numarasına dosyanın ilk geldiği tarihlerde borçlunun ismi belirtilerek ve borçluya gönderildiği düşüncesi ile iki tane SMS iletildiği, telefonla bir görüşme yapılmadığı, yaklaşık bir yıl sonra GSM numarasının kendisine ait olduğunu söyleyen şahsın şikayet dilekçesinin tarafına geldiği gün bu yanlış kaydın taraflarınca silindiği, bu verinin yurtiçinde ve/veya yurtdışında hiç kimse ile paylaşılmadığı

ifade edilmiştir. 

İlgili kişinin başvurusu ile ilgili olarak şikâyetine konu olan ilgili Şirket ve Hukuk Bürosu Avukatından alınan cevap yazıları ve ilgili dokümanların incelenmesi neticesinde; ilgili kişiye ait GSM numarasının, dosya ‘idari takip süreci’ndeyken diğer bir Hukuk Bürosu çalışanı tarafından temin edildiği ve Yasal Takip Sistemine büro çalışanı personel tarafından kaydedildiği bilgisinin edinilmesi üzerine söz konusu kaydı gerçekleştiren Hukuk Bürosundan ayrıca savunma, bilgi ve belge talep edilmiştir. İlgili Hukuk Bürosu Avukatından alınan cevabi yazıda ise özetle;

  • İlgili kişiye ilişkin dosyanın şu an ofisin sisteminde kayıtlı olmadığı, bahsi geçen dosyanın Şirket tarafından YTS kullanılarak atandığı, bu dosyaların ofisinde yer alan personellerce sistemde yer alan telefon numaraları kullanılarak arandığı ve fatura borçlarının ödenmesinin sağlandığı,
  • Şikâyete konu olan dosyanın da bu şekilde taraflarına 2018 yılında atanmış bir dosya olduğu, Hukuk Bürolarında kaldığı süre boyunca borçluya sistemde yer alan telefonlarla ulaşılmaya çalışıldığı, dosyanın şu an kendisinin uhdesinde olmadığı için ne gibi işlemler yapıldığını görmesinin mümkün olmadığı, 
  • Müvekkil Şirket tarafından, ilgili kişiye ait telefon numarasının ofislerince sisteme kayıt edildiği bilgisinin tarafına iletildiği, Şirketin verdiği bilgiye göre eski bir personelin sisteme şikâyete konu olan numarayı işlediğini öğrenmiş bulunduğu, bu tespit sonucu eski çalışanı ile irtibata geçtiği,
  • Eski çalışanının; 2018 yılının Haziran, Temmuz aylarında gerçekleşen olayda kişiyi hatırlamadığını, kişinin telefonu sistemde kayıtlı ise veya tarafınca kayıt edildiyse 118 sorgu gibi kamuya açık portallardan ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşmış olabileceğini, şikâyetçinin telefon numarasının müvekkil Şirketin borçlusu tarafından bürolarınca paylaşılabileceğini ve bu şekilde işlenebileceğini söylediği,
  • Çalışanı tarafından şikâyetçiye ait telefon numarasının irtibat numarası olarak kayıt edilmediği, şahsın telefon numarasının kimse ile paylaşılmadığı, sadece kurumun yaptığı işlemi bilmesi adına not alındığı,
  • Söz konusu GSM numarasının tarafınca işlenmediği, ofisinde çalışan personelin Şirkete ait sisteme giriş yaptığı ve borçlular ile yaptıkları görüşmelere istinaden bir takım notlar alabildiği, bu numaranın da eski çalışanın beyanına göre 118 sorgu siteleri gibi kamuya açık portallardan edinilmiş ya da borçlu şahsın kendisi tarafından personele verilmiş olabileceği, bu numaranın sadece müvekkil firmayı dosyada yapılan işlem açısından bilgilendirme amaçlı olarak görüşme yapıldığına ilişkin not düşüldüğü

ifade edilmiştir. 

Bu çerçevede, konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde  “veri sorumlusu” nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere veri sorumlusunun işleme faaliyetinin neden ve nasıl yapılacağı sorularına cevap veren kişi olduğu,  bu doğrultuda, somut bir olayda veri sorumlusu belirlenirken kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı ve verilerin ne kadar süreyle saklanacağına kimin karar verdiği hususlarının dikkate alındığı,  
  • Karara konu somut olayda, alacaklı Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olarak adlandırıldığı, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin Şirket tarafından Yasal Takip Sistemi adı verilen sisteme aktarıldığı ve alacağın tahsilini sağlamak üzere yapılan işlemlerin bu sistem aracılığıyla gerçekleştirildiği, 
  • Söz konusu olayda ilk Hukuk Bürosu avukatının ‘idari takip süreci’nde yer aldığı ve bu süre zarfında da ilgili kişiye ait iletişim bilgisinin Hukuk Bürosu çalışanı tarafından temin edilerek YTS isimli sisteme işlendiğinin gerek şirket gerek SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatı tarafından beyan edildiği,  bununla birlikte Kuruma sunulan evraklarda da ilk Hukuk Bürosu çalışanı tarafından ilgili kişiye ait iletişim bilgisinin işlendiğinin tevsik edildiği, 
  • Bu kapsamda somut olayda ilgili kişiye ait telefon numarası Şirket tarafından alacağın tahsilini sağlamak üzere ilk Hukuk Bürosuna aktarılmadığı halde söz konusu Hukuk Bürosu çalışanı tarafından numaranın borçlu kişinin yakınına ait olduğunu belirli kılacak şekilde  ‘not’ olarak kaydedildiği, dolayısıyla borçlu kişinin yakını olması nedeniyle ilgili kişiye ait telefon numarasının YTS sistemine işlendiğinin anlaşıldığı, 
  • Bu anlamda veri sorumlusu belirlenirken kişisel verilerin toplanması ve toplama yöntemi, hangi bireylerin kişisel verilerinin toplanacağı gibi hususları belirleyen konumunda olup olmadığı dikkate alındığında ilk Hukuk Bürosu çalışanının ilgili sistemde borçlu kişiye ait olmayan ve YTS sisteminde bulunmayan numarayı bir şekilde temin ederek işlediği anlaşıldığından ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğu
  • Diğer taraftan ikinci Hukuk Bürosu Avukatından alınan cevap yazısı ve ekinde yer alan belgeler incelendiğinde; “… ilk avukatlık bürosunun YTS’ye girmiş olduğu verilerle birlikte …” sonraki aşamanın gerçekleştirilmesi için ikinci Hukuk Bürosuna gönderildiği, numaranın YTS sisteminde kişinin yakınına ait olduğu notu ile işlendiği ve bu bilginin de ikinci Hukuk Bürosu Avukatı ile paylaşıldığı anlaşıldığından, bahse konu telefon numarasının borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alındığında SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatının da YTS isimli kayıt sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla veri sorumlusu olduğu
  • Bu çerçevede kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yürütülmesinden sorumlu olan Şirketin ve Şirket tarafından yürütüldüğü anlaşılan YTS isimli kayıt sistemine kendilerine tevdi edilen dosyalara ek veri girişinde bulunmak suretiyle kendi amaçları doğrultusunda etki yapan ve işleme faaliyetinin amaç ve araçlarının belirlenmesi sürecine katılan ilk Hukuk Bürosu Avukatının ve ilgili verileri amaçları doğrultusunda kullanmak suretiyle işleyen ikinci Hukuk Bürosu Avukatının sürecin belli aşamalarında veri işleme faaliyetine katıldığının anlaşıldığı, bu çerçevede Şirket ile birlikte ilgili hukuk büroları avukatlarının da veri sorumlusu olduğu sonucuna varıldığı, 
  • Diğer taraftan 6698 sayılı Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ile kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğunun düzenlendiği, kişisel veri işleme faaliyeti gerçekleştirilirken, veri işleme şartı sağlansa dahi kişisel verilerin işlenmesine ilişkin genel ilkelerin tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve bu ilkelere uygun olarak kişisel veri işleme faaliyetlerinin gerçekleştirilmesinin gerektiği, söz konusu şikâyete konu olayda veri sorumlusu Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşıldığından söz konusu davranışın genel ilkelerden biri olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği,
  • Öte yandan, Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • İlgili kişinin kişisel verilerinin açık rızası olmaksızın işlendiği iddiası ile ilgili olarak ilk Hukuk Bürosu Avukatından alınan cevap yazısında; ilgili kişinin telefon numarasının nasıl temin edildiği konusunda 118 sorgu gibi kamuya açık portallardan edinilmesi ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşılmış olunabileceği açıklamalarına yer verildiği, dolayısıyla ileri sürülen olasılıkların açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığı, aynı zamanda hukuki anlamda somut zemine oturan açıklamalar olmadığının anlaşıldığı, bu kapsamda Kanunun 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi biri geçerli olmadığı halde kişisel veri niteliğinde olan ilgili kişiye ait iletişim bilgisinin, yakınının borcu olması dolayısıyla Avukat tarafından işlendiği sonucuna varıldığı,
  • Diğer taraftan Hukuk Bürolarının ortak kullanımda olan YTS sisteminde ilgili kişiye ait telefon numarasının kişinin yakınına ait olduğu bilgisinin mevcut olmasına rağmen ikinci Hukuk Bürosu Avukatı tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde ayrıca işlendiği bu itibarla, avukat tarafından kişisel verilerin hukuka aykırı işlenmesini önlemek adına gerekli dikkat ve özen yükümlülüğünün yerine getirilmeyerek hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğu,

değerlendirmelerinden hareketle;

  • İlgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu Avukat tarafından ileri sürülen hususların Kanunun 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu Avukatın Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğü yerine getirmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına, 
  • Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin Kanunun 4 üncü maddesi gereğince doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasında yer alan yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu Şirket hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 115.000 TL idari para cezası uygulanmasına,
  • YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğün yerine getirilmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca, 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

28.05.2020: “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi”
Karar Tarihi : 28/05/2020
Karar No : 2020/435
Konu Özeti : Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesine yönelik talebine veri sorumlusu tarafından cevap verilmemesi

İlgili kişiden alınan şikayet dilekçesinde özetle;

  • Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin haksız,  geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanuna aykırı uygulaması nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu kargo firmasından alınan savunmada;

  • İlgili kişi tarafından noter kanalıyla yapılan başvurunun Kanunun 11 inci maddesi kapsamında bir başvuru olmadığı bu nedenle cevap verilmediği, ilgili kişinin …. 1. Noterliğinden keşide edilen ihtarnamesi incelendiğinde; “İhtarın Konusu; tarafınızca iş akdim feshedilmeden önce tarafımdan almış olduğunuz 30.09.2019 tarihli önlü arkalı yazılı savunmamın tarafınızca tarafıma zorla imzalatılan 18.10.2019 tarihli istifa dilekçemin ve iş akdimin 17.10.2019 tarihinde tarafınızca feshi gerçekleştirildikten sonra aynı gün elden vermiş olduğum 17.10.2019 tarihli istifa dilekçemin birer örneğinin KVKK madde 11/1-b kapsamında tarafıma ibrazına ilişkin ihtarnamemdir.” şeklindeki talebinde veri sorumlusundan kişisel verilerine ilişkin bilgi talep etmediği, kendisi tarafından veri sorumlusuna verilen belgelerin birer örneğini talep ettiği, Kanunun 11 inci maddesinde ilgili kişinin haklarının düzenlendiği, ilgili kişinin veri sorumlusuna başvurarak kendisinden sadır olan belgelerin birer örneğini alabileceğine veya belge örneklerini isteyebileceğine ilişkin bir hakkın da madde metninde düzenlenmediği, bu nedenle ilgili kişinin başvurusu her ne kadar 11 inci maddeye dayandırılsa da başvuruda yer alan talebin Kanunda düzenlenen haklara ilişkin olmadığı, başvuru Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için talebinin Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı,
  • Ayrıca, ilgili kişi tarafından veri sorumlusuna başvurularak örneği talep edilen veri sorumlusuna vermiş olduğu dilekçelerin Kanun kapsamında “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen bir veri de olmadığı,
  • İlgili kişi tarafından veri sorumlusuna noter aracılığıyla yapılan başvurusunun veri sorumlusuna ulaşma tarihinin 26.11.2019 olduğu, ilgili kişi tarafından ihtarname keşide edildikten 8 gün sonra henüz cevap verme süresi dolmadan bu defa 04.12.2019 tarihinde arabulucuya başvurularak konunun yargıya intikal ettirildiği, 
  • İlgili kişinin Kanunun 11 inci maddesi kapsamında düzenlenen “bilgiye erişim hakkını” kullanmak amacında olmadığı, bu yolla kendisine delil elde etmek amacında olduğu, kıdem ve itibar tazminatı ile sair işçilik alacaklarının kendisine ödenmesi amacıyla … 26. İş Mahkemesinde açılan dava dosyasına sunulan dava dilekçesinin 9. sayfasındaki 33 nolu paragrafta açık bir şekilde; “Kaldı ki, müvekkilimizden daha öncesinde alınan istifa dilekçesinin ve savunmasının işbu davada delil olarak kullanılabilmesi için müvekkilimiz davalı tarafa başvurmuş ve kendilerine …. Noterliği nezdinde … tarihli ve … yevmiye no.lu ihtarı keşide ederek işbu belgelerin kendisine verilmesini talep etmiştir.” hususunun ikrar edildiği, 
  • Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “Hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağı”nın hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkı kullandığı, 
  • İlgili kişinin cevap verilmeyen …. . Noterliğinden keşide edilen ihtarnamede taraflarına karşı suç isnadında bulunulduğu ve kendisinden zorla imza alındığının iddia edildiğinin de izahtan vareste olduğu, bu nedenle ilgili kişinin başvurusunun Dilekçe Hakkının Kullanılması Kanununa da aykırı olduğu,
  • İlgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine” karar verildiği, ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği

beyanlarına yer verilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/05/2020 tarih ve 2020/435 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, Kanunun gerekçesinde, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı,
  • Bu çerçevede öncelikli olarak, veri sorumlusundan alınan cevap yazısında ilgili kişinin kişisel verilerine ilişkin bilgi talep etmediği, ilgili kişinin veri sorumlusuna verdiği belgelerin birer örneğini talep ettiği iddiasına yer verilmiş olmakla birlikte Kanunun büyük ölçüde esas alınarak hazırlandığı 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifinin 29 uncu maddesi uyarınca kurulmuş olan Madde 29 Çalışma Grubunun, kişisel veri kavramına ilişkin 20/06/2007 tarihinde yayınladığı görüşünde “Bir doktorun yazdığı ilaç reçetesinde yer alan bilgiler, doktor açısından kişisel veridir. İster kişiye özgü reçete olsun, ister belirli bir grup hastaya yazılan reçetelerden çıkartılan genel bilgi formatında olsun, ilgili hastalar ister belirli ister anonim olsun, doktorun kimliği belirlenebilir olduğu müddetçe reçete bilgileri doktor açısından kişisel veridir.” örneğine yer verildiği, bu minvalde, kişisel veri kavramının kimliği belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği,
  • Dolayısıyla, veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı,
  • Kanunun 3 üncü maddesinde ayrıca “ilgili kişi”nin kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Bu minvalde, şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu,
  • Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verildiği,
  • Kanunun 11 inci maddesinde ise “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği, 
  • Kanunun 13 üncü maddesinin (1) numaralı fıkrasında da ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, aynı maddenin (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağının düzenlendiği, bununla birlikte Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 6 ncı maddesinin (2) numaralı fıkrasında da “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” hükmüne yer verildiği,
  • Yukarıda anıldığı üzere Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun düzenlendiği,  bu çerçevede, ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan yazılı savunmasını ve istifa dilekçelerini Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği, 
  • Ayrıca, veri sorumlusunun cevap yazısında; Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağının” hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkını kullandığı iddialarına yer verildiği görülmekle beraber Anayasa Mahkemesinin 2011/41 Esas sayılı ve 2012/25 Karar sayılı kararında “Anayasa'nın 38. maddesinde suç ve cezalara ilişkin temel ilkelere yer verilmiş, beşinci fıkrasında 'Hiç kimse kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.' denilmiştir. İnsan hakları arasında yer alan, manevi işkenceyi meneden, insan haysiyetinin ve kişi dokunulmazlığının teminatı olan bu düzenlemeye, ceza yasalarında sanığın 'susma hakkı' olarak yer verilmiştir.” denildiği, dolayısıyla Anayasanın 38 inci maddesinin (5) numaralı fıkrasının Anayasa Mahkemesinin anılan kararından da anlaşılacağı üzere gerçek kişileri esas alan bir düzenleme olduğu ve temel insan hakları arasında bir hak olarak değerlendirildiğinin anlaşıldığı,
  • Veri sorumlusunun cevap yazısında; ilgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, bu anlamda Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddialarına yer verildiği, ancak ilgili kişinin Kurumu muhatap başvurusunda, veri sorumlusundan Kanunun 11 inci maddesi kapsamında özlük dosyasında yer alan yazılı savunmasının ve istifa dilekçelerini talep ettiğini belirterek, Kurumdan söz konusu kişisel verilerinin birer suretinin tarafına ibraz edilmemiş olması nedeniyle veri sorumlusu hakkında yaptırım uygulanmasını ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesini talebinde bulunduğunun anlaşıldığı, esasen Kuruma intikal eden şikayetin konusunun kişisel verilere ilişkin olduğu ve suç unsuru da barındırmadığı sonucuna varıldığı,
  • İlgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun ise “Fazlaya ilişkin her türlü talep ve dava hakkımız saklı kalmak ile şimdilik; 100 TL kıdem tazminatı, 100 TL ihbar tazminatı, 100 TL maaşından kesilen yıllık izin alacağının faizleri ile birlikte davalı şirketten alınarak müvekkile ödenmesi talebine ilişkindir.” şeklinde olduğunun anlaşıldığı, bu minvalde, açılan davanın kişisel verilere ilişkin bir dava olmaması sebebiyle konunun kişisel verilere ilişkin olan yönünün Kurum tarafından ele alınmasında bir sakınca olmadığı 

değerlendirmelerinden hareketle, 

  • İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına

karar verilmiştir.

22.05.2020: “Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi”
Karar Tarihi : 22/05/2020
Karar No : 2020/414
Konu Özeti : Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi

İlgili kişinin vekilinden alınan şikayet dilekçesinde özetle;

Müvekkilinin yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve soyadının geçtiği, Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun aynı gün reddedildiği ifade edilerek kişisel verileri ve özel nitelikli kişisel verilerini ihlal eden tarafların hukuka aykırı davranışlarına son verilerek haberlerin kaldırılması, ilgili kurumlara 6698 sayılı Kişisel Verilerin Korunması Kanunu  (Kanun) kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmektedir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Gazeteden savunma sunması talep edilmiş, veri sorumlusu Gazetenin savunmasında,

  • Kanunun ‘İstisnalar’ başlıklı 28 inci maddesinin birinci fıkrasının (c) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” ifadeleri ile kişisel verilerin ‘ifade özgürlüğü’ kapsamında işlenmesinin ‘hukuka uygunluk’ nedeni olarak değerlendirileceğinin açıkça ifade edildiği,
  • Türkiye Cumhuriyeti Anayasasının 26 ncı maddesinin birinci fıkrasında “Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar.” şeklinde düzenlemenin yer aldığı, dolayısıyla haber alma ve vermenin ifade özgürlüğünün bir parçası olarak değerlendirildiği ve Anayasa tarafından doğrudan koruma altına alındığı,
  • Bu açıklamalar doğrultusunda, şikâyet konusu yazının ‘kamunun haber alma hakkı’ kapsamında kaleme alındığı, kanun koyucu tarafından veri işleme kuralları istisnaları arasında olan ‘ifade özgürlüğü’ içerisinde değerlendirilmesi gerektiği,
  • Şikâyet eden vekiline gönderilen cevabi yazıda yer alan yayın ilkelerine ilişkin olarak; basın ve genel manada medyanın yasama, yürütme ve yargıdan sonra 4. güç olarak değerlendirildiği ve AİHM Kararlarında ifade edildiği üzere ‘Demokrasinin Bekçi Köpeği’ olarak kabul edildiği, basın kuruluşlarının genel yargı denetimi dışında bir iç denetim mekanizması kapsamında ‘yayın ilkeleri oluşturarak’ bunları uyguladığı ve yürüttüğü, 
  • İlgili kişinin kişisel verilerinin internet sitesinden kaldırılmamasına ilişkin gerekçelerin ‘kamunun haber alma hakkı’ içerisinde yer alan ‘basın özgürlüğü’ çerçevesinde kaleme alınması ve ‘hukuka uygunluk nedeni’ içermesi ile bağlantılı olduğu,
  • İlgili medya grubunun bünyesinde yer alan bütün yayın organları ile ilgili her gün onlarca ‘içerikten çıkarma, değiştirme’ taleplerinin taraflarına iletildiği, okuyucuların haberde bahsi geçen olgular tamamen görünürde gerçeğe uygun olsa dahi kişisel olarak rahatsız edici olduğu gerekçesi ile yayından kaldırma taleplerinin bulunduğu, medyanın kamuoyu üzerindeki haber verme hak ve görevi doğrultusunda özellikle yaşanan adli süreçler ile ilgili yapılan bu haberlerin, gelişigüzel ve üstün kamuoyu yararı dikkate alınmadan sadece ilgilisi tarafından rahatsız edici bulunduğu için kaldırılması dolayısıyla orta ve uzun vadede medyanın işlevsiz kalması anlamına geleceği ve kamunun haber alma hakkının zarar görebileceği,
  • İlgilisi tarafından içeriğin kaldırılması talepli hususlar değerlendirilirken üstün kamu yararının dikkate alındığı ve bu husus çerçevesinde her somut olay için ayrı bir değerlendirmenin yapıldığı, şikayete konu olayda ise ilgili kişinin gerçekleştirmiş olduğu eylemin tarafsız bir mahkeme tarafından araştırıldığı ve nihayetinde mahkumiyet kararı verilerek bu kararın kamuya açık bir şekilde ilan edildiği, dolayısıyla gizli bir bilginin taraflarınca ifşa edilmesinin söz konusu olmadığı gibi haberde bahsi geçen bilgilerin tamamının yargı makamları kararı ile kesinlik kazandığı, haber tarihi üzerinden belli bir zaman geçmiş olması gerekçesine dayanarak içeriklerin kaldırılması halinde medya kuruluşlarının arşivlerinin tamamen eriyeceği ve kamu denetimi için önemli olan toplumsal belleğin ortadan kalkacağı,
  • Yayınların kaldırılması ile ilgili olarak 5651 sayılı Kanun ile ‘erişim engelleme’nin mümkün kılındığı, ilgili Kanun kapsamında bir içeriğin ‘kişilik haklarını ihlal ettiğini’ iddia eden şahsa, bağımsız ve tarafsız mahkemeler aracılığıyla her somut olay için ayrı değerlendirme yapılması ve hakimler tarafından uygun görüldüğü takdirde erişim engelleme kararının verilmesini sağlayabilecek Sulh Ceza Hakimlikleri aracılığıyla talepte bulunma hakkının ihdas edildiği, bu minvalde alınacak kararların taraflarına tebliği sonrasında erişim engelleme kararının 4 saat içerisinde taraflarınca uygulandığı,

açıklamalarına yer verilmiş ve bu kapsamda, kamu yararı içeren bir haber ile ilgili olarak ilgili kişinin yargı yoluna başvurmayıp kanuni muvazaa yoluna giderek Kurula başvurmasının yargı denetiminden kaçması ve  hakkını kötüye kullanmış olmasına sebebiyet verdiği ifade edilerek bu açıklamalar ve ilgili mevzuat doğrultusunda; Anayasa Mahkemesi’nin 03.03.2016 tarih ve 2013/5653 sayılı Kararında “…her ne kadar kişisel verilerin ancak Kanunla veya kişinin açık rızası ile işlenebileceği belirtilmiş ise de Anayasada tanımlanan ifade ve basın özgürlükleri kapsamında yapılan bir haberin anılan sınırların istisnası olacağı açıktır...”…“…Unutulma hakkının internet gazete arşivlerindeki her türlü haber yönünden uygulanmasını beklemek mümkün değildir…”..“…internette tutulan arşivlerin, ifade ve basın özgürlükleri kapsamında olduğu açıktır. Dolayısıyla internette yayımlanan ve gazetecilik faaliyeti kapsamında kabul edilen bir haber arşivinin yayından kaldırılması basın özgürlüğüne yönelik bir müdahale teşkil eder.” şeklinde yer aldığı, bu çerçevede şikayet sonucu başlatılan soruşturma neticesinde tarafları hakkında “6698 sayılı Kanuna aykırı bir işlemin bulunmadığı” yönünde karar verilmesi talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/414 sayılı Karar ile;

  • Kanunun “Tanımlar” başlığını taşıyan 3 üncü maddesinde kişisel verinin “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”,  ilgili kişinin “kişisel verileri işlenen her türlü gerçek kişi”, veri sorumlusunun ise “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Diğer taraftan, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahip olduğunun hükme bağlandığı,
  • Kanunun 28 inci maddesinin birinci fıkrasının (c) bendine göre ise “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının düzenlendiği,
  • İfade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;
    a) Kamu ilgi ve yararı taşıması, 
    b) Gerçek ve güncel olması, 
    c) Özü ile biçimi arasındaki denge
    kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,
  • Bu kapsamda öncelikle kamu yararının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin uygun olacağı,  bu anlamda, toplumsal ilgi uyandıran, kamuoyu üzerinde düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlanmasına ve buna çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğu, örneğin, yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu, öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağının değerlendirildiği,
  • Bu çerçevede, basın özgürlüğüne yapılan sınırlamanın daha dar yorumlanabilmesine olanak sağlayacak olan ilgili kişinin toplum tarafından tanınır, bilinir olma gibi siyasetçi, ünlü veyahut kamu görevlisi olma kriterlerinden birini taşıdığına dair herhangi bir bilgiye yapılan incelemelerde rastlanılmamış olmakla birlikte bahse konu olaya konu haberin kamu ilgi ve yararının yasa dışı uygulamalar, rüşvet ve yolsuzlukların kamuoyuna iletilmesi gibi değerlendirilebilecek olan insan kaçakçılığı suçunu işleyen failler hakkında olduğunun görüldüğü, bu kapsamda, haberin yayınlanması ile toplumun bilgilendirilmesi ve bu durumdan haberdar edilmesinin toplumsal bir faydaya yol açabileceğinin mümkün göründüğü, dolayısıyla, söz konusu haber her ne kadar toplum tarafından tanınır olmayan bir vatandaş hakkında olmuş olsa dahi bu haberin kamuya duyurulmasında kamunun ortak menfaatinin bulunduğu sonucuna varıldığı,
  • Karşı karşıya gelen hakların değerlendirilmesi açısından haberin gerçek ve güncel olması ikinci kriter olarak sayılmış olup gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden, burada kişilik hakkına üstünlük tanınması gerekeceği, geçmişteki bir olayın gündeme getirildiği haberin, hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerektiği,
  • Bahse konu şikâyet başvurusunun, haberin ve veri sorumlusunun cevabi yazısının incelenmesi neticesinde; gerçeklik unsuruna ilişkin olarak ilgili kişinin şikâyet başvurusunda yer alan  “Müvekkilinin 2009 yılında İngiltere’de 3 sene hapis cezası ile cezalandırıldığı, Haziran 2009’da cezaevine girip Ekim 2010’da çıktığı, 1,5 yıl cezaevinde kalması sonrasında İngiliz Yasaları doğrultusunda kontrollü tahliye şeklinde kalan cezasını cezaevi dışında tamamladığı ve Nisan 2012 itibariyle müvekkile verilen cezanın tamamının infaz edildiği…” ifadelerinden de anlaşılacağı üzere habere konu olayın yargı tarafından verilen kararla kanıtlanmış olduğu, öte yandan, haberin güncel olması kriterinin değerlendirilmesi kapsamında mevcut şartlar altında bahse konu haberin gündemde kalması hususunda ve kamunun bu haberi alma konusunda menfaatinin devam ettiği dolayısıyla hukuka uygunluk sebebi sayılabilecek kamu yararının söz konusu haberde bulunduğu sonucuna varıldığı,
  • Biçim ve öz arasındaki denge kriteri açısından ise haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmaması gerektiği, haberin özü ile biçimi arasında denge gözetilmesi gerekliliği bulunduğu,
  • Söz konusu haberde, biçim ve öz arasındaki denge kriteri açısından ise kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olduğu, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle;

  • İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
20.05.2020: “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması”
Karar Tarihi : 20/05/2020
Karar No : 2020/407
Konu Özeti : İlgili kişinin tahlil sonuçlarının veri sorumlusu Hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması

İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikayet dilekçesinde yer alan iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği,
  • Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun 12 nci maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı

ifade edilerek, Hastane tarafından veri sorumlusu olarak mesul müdürün gösterildiği Veri Sorumlusu Tanıtım Formu Kurumumuza intikal ettirilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Kararı ile,

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, bu minvalde ilgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan maddenin (4) numaralı fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün yer aldığı, bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı,
  • Kanunun 8 inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.” hükümlerine yer verildiği, bu çerçevede, kişisel verilerin herhangi bir veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,  
  • Bu çerçevede başvuruya konu olayda, ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiği görüldüğünden, 6698 sayılı Kanunun 3 üncü maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde Hastanenin bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
  • Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

20.05.2020: “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi”
Karar Tarihi : 20/05/2020
Karar No : 2020/404
Konu Özeti : İşverenin, işçisine ait kişisel verileri ile özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi

Kuruma intikal eden şikâyet dilekçesinde özetle, 

  • İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,
  • Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği, 
  • Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
  • Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,
  • Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği 

belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığı,
  • Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
  • Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği, kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi, kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak anlatıldığı,
  • Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
  • Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde yetki dereceleri matrisinin çalışanların erişimine açık olan  bu adreste yayınlandığı, matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının site üzerinden yapıldığı,
  • Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği,
  • Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı,
  • Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği,
  • Veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında kişisel verilerin uygun güvenlik düzeyini temin etmek amacıyla çalışanlara kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, çalışanlara gizlilik sözleşmesi imzalatıldığı, güvenlik prosedür ve politikalarına uymayan çalışanlara disiplin prosedürünün uygulandığı, çalışanlar için veri güvenliği hükümlerini içeren disiplin düzenlemelerinin mevcut olduğu, çalışanlar için veri güvenliği ile ilgili olarak eğitim ve farkındalık çalışmaları yapıldığı, aydınlatma yükümlülüğünün yerine getirildiği, erişim loglarının düzenli olarak tutulduğu, şirket içi rastgele denetimler yapıldığı, bilgi güvenliği, kullanımı, saklanması imhası konularında şirket politikaları hazırlandığı ve uygulandığı, verilerin saklandığı ortamlar için arttırılmış güvenlik önlemleri alındığı, bu alanlara yetkisiz giriş ve çıkışların önlendiği, ağ ve uygulama güvenliği sağlandığı, kişisel veri içeren evrakların fiziken gönderilmesi gerektiğinde gizlilik dereceli belgeler olarak gönderildiği, bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile;

  • Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
  • Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği,
  • Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
  • Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı, 
  • “Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
  • Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
  • Yine ilgili kişinin dilekçesinde; “ (…) parmak izinin alındığını, çalışanların bu veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğinin (…)” dile getirildiği, veri sorumlusunun ise, “ (…) çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını (…)” belirttiği, biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği,
  • İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
  • Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması durumunda Kanunun 9 uncu maddesi uygulama alanı bulacağı, “Kişisel verilerin yurtdışına aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri aktarımlarında açık rızanın olmadığı hallerde 9 uncu maddede öngörülen prosedürün işletilmesi gerektiği,
  • Ayrıca, veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
  • Yukarıda yer alan açıklamalar doğrultusunda, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği

değerlendirmelerinden hareketle;

  • Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına 

karar verilmiştir.

20.05.2020: “İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi”
Karar Tarihi : 20/05/2020
Karar No : 2020/396
Konu Özeti : İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi

Kuruma intikal eden şikâyet dilekçesinde özetle, ilgili kişinin memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu çalıştığı kuruma yapmış olduğu başvurunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumunda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin atamasının yapılabilmesini teminen başvuru belgelerinin istendiği, bu kapsamda sunulan belgeler arasında yer alan “Güvenlik Soruşturması ve Arşiv Araştırması Formu”nda “Hakkınızda Verilmiş Bulunan Mahkûmiyet Hükmü veya Halen Devam Eden Ceza Davası Bulunup Bulunmadığı” kısmının “Var” olarak beyan edilmesi nedeniyle, ilgili kişi hakkında verilmiş hükümler veya devam eden cezaların 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer alan şartlara engel teşkil edip etmediğinin tespiti amacıyla, söz konusu mahkeme kararlarının ilgili kişinin kendi isteği ile … Asliye Ceza Mahkemesinden talep edilerek atamasının yapılıp yapılamayacağı hususunun incelenmesini teminen Kurumuna sunulduğu,
  • İlgili kararın atamaya engel teşkil edip etmediği hususunda gerekli değerlendirmenin yapılarak atamanın gerçekleştirildiği ve ilgili kişinin görevine başladığı, söz konusu kararların atama onayı ile ilişkilendirildiği ve Kamu Personeli Genel Tebliğinin (Seri No: 2) “Özlük Dosyasının Tutulmasına İlişkin Usul ve Esaslar” başlıklı D maddesinin 5 inci fıkrasının birinci bendi gereğince özlük dosyasına konulduğu, işlemin 2013 yılında gerçekleştiği; ancak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 07.04.2016 tarihinde yürürlüğe girdiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Bu çerçevede, şikâyete konu başvuruyu yapan kişinin gerçek kişi olduğu ve bu itibarla, ilgili kişi sıfatını haiz bulunduğu; ilgili kişinin Kuruma yapmış olduğu başvuruya konu ettiği mahkeme kararlarının kişiyi belirli kılma niteliğinin bulunması sebebiyle kişisel veri olduğu; söz konusu mahkeme kararlarının Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri niteliğini haiz bulunduğu,
  • Kanunun 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin, başvurusunda resmi dayanağı olmaksızın yapıldığını iddia ettiği güvenlik soruşturması evrakının 2013 yılına ait olduğu, söz konusu tarihte 03.11.1994 sayılı Resmi Gazetede yayımlanan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” un yürürlükte bulunduğu, anılan Kanunun 1 inci maddesi uyarınca güvenlik soruşturması işleminin yapılabilmesinin ön koşulunun; ilgili personelin ya kamu kurum veya kuruluşlarında “gizlilik dereceli birim” olarak nitelendirilen birimlerde ya da düzenlemede sınırlı olarak sayılan kurumlarda yahut görevlerde çalıştırılacak olması durumlarından birisinin gerçekleşmesi olduğu,
  • İlgili kişiye güvenlik soruşturması ve arşiv araştırması işleminin yapılabilmesinin, konuya ilişkin temel düzenleme vasfı taşıyan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” kapsamında, ilgili kişinin “gizlilik dereceli birim” olarak ifade edilen birimlerde çalıştırılacak olması koşuluyla; 4045 sayılı Kanuna dayalı olarak çıkarılan “Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği” kapsamında ise “…ilk defa veya yeniden kamu hizmeti ve görevlerine atanacakları…” ifadesi kapsamında mümkün olabileceği, bunun dışındaki olasılıklarda ise şikâyete konu olay tarihinde yürürlükte bulunan mevzuata aykırılık teşkil edeceğinin değerlendirildiği, bu açıdan bakıldığında, 4045 sayılı Kanun hükümleri uyarınca ilgili kişinin atanmış olduğu kadronun, kanunda “yetkili olmayan kişilerin bilgi sahibi olmaları halinde devlet güvenliğinin, ulusal varlığın ve bütünlüğün, iç ve dış menfaatlerin zarar görebileceği veya tehlikeye düşebileceği bilgi ve belgelerin bulunduğu gizlilik dereceli birimler” şeklinde ifade edilen birimler arasında yer alıp almadığı hususunun, Kanuna uygun bir kişisel veri işleme faaliyetinin gerçekleştirilip gerçekleştirilmediği noktasında önem arz ettiğinin görüldüğü,
  • Öte yandan, “Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği”nin “Tanımlar” başlığını taşıyan 4 üncü maddesinde “gizlilik dereceli birim” kavramının tanımına yer verildiği, düzenlemeden, “gizlilik dereceli birim ve kısım” olarak ifade edilen kavramın, gizlilik dereceli bilgi ve belgeler ile bağlantılı olduğunun anlaşıldığı; bu noktada, herhangi bir kamu kurum ve kuruluşunda görev yapmakta olan personelin, hukuki anlamda olmasa da, fiili olarak gizlilik dereceli birim ve kısımda çalışıyor olarak kabul edildiği/varsayıldığının değerlendirildiği,
  • İlgili kişinin 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer verilen şartlar arasında gösterilen “Kamu haklarından mahrum bulunmamak” ve “Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından mahkûm olmamak.” koşullarının adayda bulunup bulunmadığının tespit edilebilmesini teminen birtakım belgelerin, aday tarafından veri sorumlusuna sunulmasının gerektiği; ancak atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanunda herhangi bir hükmün yer almadığı, bununla birlikte; özel nitelikli kişisel veri niteliğini haiz bulunan “Ceza Mahkûmiyeti ve Güvenlik Tedbirleri” bilgisinin 657 sayılı Kanun uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, Kanuna aykırılık teşkil etmediğinin değerlendirildiği,
  • Diğer taraftan ilgili kişinin, 657 sayılı Devlet Memurları Kanunundaki koşulları taşıyıp taşımadığının araştırılması noktasında yeterli olduğu düşünülen adli sicil kaydının, bilgi ve belge talepli Kurum yazısına veri sorumlusu tarafından gönderilen cevap ve ekinde yer almadığının görüldüğü, bu itibarla, söz konusu mahkeme kararlarının; adli sicil kaydı istenmeksizin/verilmeksizin, doğrudan mahkeme kararlarının talep edilmesi/verilmesi şeklinde gerçekleştiği; bununla birlikte durumun ilgili kişinin bilgisi ve talebi doğrultusunda gerçekleşmesi sebebiyle, Kanunun yürürlüğe girdiği tarihten önce gerçekleşen söz konusu olgunun, olayın gerçekleştiği tarihte yürürlükte bulunan mevzuat bakımından hukuka aykırılık içermediğinin değerlendirildiği, 
  • Söz konusu kararların, güvenlik soruşturması işlemi neticesinde elde edilen (istihbari vb.) kararlar olmadığı, atama işlemlerinin gerçekleştirilmesini teminen ilgili kişi tarafından veri sorumlusuna sunulan evraklar arasında yer alması sebebiyle özlük dosyasına girdiğinin taraf beyanlarından anlaşıldığı,
  • 657 sayılı Devlet Memurları Kanununun 109 uncu maddesinin dördüncü fıkrası gereğince özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca (DPB) belirlendiği, bu sebeple, konuya ilişkin olarak memurların ilk veya naklen atanmalarına ilişkin belgeler ile memurun adaylık ve asli memurluğa atanmasına ilişkin belgelerin neler olduğu, kamu kurumlarının/kuruluşlarının memurlardan ilk işe başlamaları sırasında istedikleri bilgi ve belgelerin neler olduğu ile bu belgelerin her kurum/kuruluşta farklılık gösterip gösteremeyeceği hususları ile “yargı organlarınca memur hakkında verilmiş karar örnekleri” ifadesinin yargı organlarınca memurun çalışma hayatına ilişkin verilmiş karar örneklerini mi yoksa memur hakkında verilmiş tüm karar örneklerini mi kastettiği hususuna ilişkin olarak Kurumca, Devlet Personel Başkanlığından görüş talep edildiği ve Devlet Personel Başkanlığının Kuruma gönderdiği cevabi yazıda; 2 Seri No’lu Kamu Personeli Genel Tebliğinin “Özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esaslar” başlıklı bölümüne ilişkin düzenlemelere yer verildikten sonra, “Mezkûr Tebliğde memurun özlük dosyasının sekiz bölümden oluştuğu belirtilmekte, bölümlerde hangi konulara ilişkin belgelerin yer alması gerektiği hususu düzenlenmekte olup, özlük dosyasında yer alan her bir bölüme ilişkin belgelerin tek tek zikredilmesinin mümkün bulunmadığı, kurumlarca lüzum görülen tüm belgelerin ilgili bölümlere konulmasının uygun olacağı, dosyanın dördüncü bölümünde memurun yalnızca çalışma hayatına ilişkin değil yargı organlarınca memur hakkında verilen tüm karar örneklerinin bulunması gerektiği değerlendirilmektedir” denilmekle birlikte, bahsi geçen kişisel verinin Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri olması ve ilgili kişinin, şikâyet başvurusuna konu etmiş olduğu mahkeme kararlarının işlenmesine ilişkin olarak hâlihazırda açık rızasının bulunmaması hususları birlikte değerlendirildiğinde, söz konusu verilerin işlenmesinde Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…sağlık ve cinsel hayat dışındaki veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir…” düzenlemesi uyarınca kişisel verinin işlenebilmesinde “kanunlarda öngörülme” prensibi doğrultusunda hareket edileceği ve söz konusu ifadenin, “maddi kanun” biçiminde anlaşılması gerektiği, bu doğrultuda, DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığının değerlendirildiği,
  • Diğer taraftan, Kanunun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verildiği, konuya ilişkin olarak 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı; özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca belirleneceğinin belirtildiği; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise özlük dosyasının sekiz bölümden oluştuğu ve bölümlerde yer alan konulara ilişkin bilgi ve belgelerin saklanacağı hükümlerine yer verildiği,
  • Öte yandan, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren mülga “Devlet Arşiv Hizmetleri Hakkında Yönetmelik”in “Tarifler” başlıklı 3 üncü maddesinde “arşiv malzemesi” ve “arşivlik malzeme” kavramlarının;
    a) Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye,  korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî,  idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik,  jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita,  proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi,
    b) Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri, …” ifade ettiğinin belirtildiği, bu kapsamda son işlem tarihi üzerinden yüz bir yıl geçmemiş olan memuriyet sicil dosyalarının, “arşivlik malzeme” olarak kabul edildiği ve yüz bir yıl boyunca saklandığı, ancak söz konusu düzenlemenin, 16.07.2018 tarihli ve 30480 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 11 sayılı “Devlet Arşivleri Başkanlığı Hakkında Cumhurbaşkanlığı Kararnamesi”ne dayalı olarak çıkarılan ve 18.10.2019 tarihli ve 30922 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Devlet Arşiv Hizmetleri Hakkında Yönetmelik”in 32 nci maddesi uyarınca yürürlükten kaldırıldığı, mülga yönetmelikte düzenlenen “arşiv malzemesi” ve “arşivlik malzeme” kavramları, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’te “arşiv belgesi” ve “arşivlik belge” olarak düzenleme altına alındığı, mezkûr kavramların,

    Tanımlar 
    MADDE 4- (1) Bu Yönetmelikte geçen;
    b) Arşiv belgesi: Son işlem tarihi üzerinden yirmi yıl geçmiş veya on beş yıl geçtikten sonra kesin sonuca bağlanmış bulunan ve günlük iş akışı içinde işlevi bulunmayan, varsa tâbi olduğu diğer mevzuatlar ile saklama planlarındaki saklama sürelerini tamamlayan, üretim biçimleri, donanım ortamları ne şekilde olursa olsun geleceğe, tarihi, siyasi, sosyal, kültürel, hukuki, idari, askeri, iktisadi, dini, ilmi, edebi, estetik, biyografik, jeneolojik ve teknik herhangi bir değer olarak intikal etmesi gereken ve bir bilgiyi içeren yazılmış, çizilmiş, resmedilmiş, görüntülü, sesli veya elektronik ortamlarda üretilmiş belgeyi, 
    c) Arşivlik belge: Süre bakımından arşiv belgesi vasfını kazanmayan veya bu süreyi doldurmasına rağmen güncelliğini kaybetmeyen, hizmetin yürütülmesi açısından işlevi olan belgeyi, …ifade eder

    şeklinde düzenlendiği, mülga Yönetmelikte arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın, süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların imha işlemine tabi tutulmadığı

değerlendirmelerinden hareketle;

  • Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
15.05.2020: “Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi”
Karar Tarihi : 14/05/2020
Karar No : 2020/379
Konu Özeti : Bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu Tıp Merkezi tarafından cevap verilmemesi

İlgili kişiden alınan şikayet dilekçesinde özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.  

Konuya ilişkin başlatılan inceleme çerçevesinde savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmiş ancak veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmemiştir. İlgili kişinin başvurusunda belirtilen ve veri sorumlusuna ait internet sitesi adresine girildiğinde, veri sorumlusu Tıp Merkezinin kim tarafından kurulduğuna ilişkin bilgi ve Merkezi Sicil Kayıt Sisteminde kayıtlı bulunduğu tespit edilmiş olup, eldeki bilgi ve belgeler çerçevesinde yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/05/2020 tarih ve 2020/379 sayılı Kararı ile;  

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde, kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılma sı ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun ise, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Bu çerçevede şikâyete konu olayda, ilgili kişiye ait görüntülerin kişisel veri niteliğinde olduğu,  şikâyet başvurusunda bulunanın gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, kişisel verilerin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu için Tıp Merkezinin veri sorumlusu olduğu, veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğu ,  
  • Kanunun  “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” hükmü ile “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” gereği; ilgili kişinin veri sorumlusuna başvurduğu, başvurusunda veri sorumlusu tarafından kişisel verilerinin, işleme amacı veya konusu kalmadığından silinmesi ve ilgili kişinin başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesinin talep edildiği, ilgili kişinin, başvurusunun veri sorumlusuna tebliğ edildiği 15.01.2019 tarihi itibariyle 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediği,
  • Öte yandan Kurulun savunma, bilgi/belge talebini içeren resmi yazısının veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmesine rağmen söz konusu tarih itibariyle veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmediği, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde;
    (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” hükmünün yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, 
  • Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmü gereği veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlenmesini gerektiren herhangi bir sebebin bulunmaması halinde ilgili kişinin başvurusunda belirttiği talep doğrultusunda tüm kişisel verilerinin silinmesi veya yok edilmesi gerektiği

değerlendirmelerinden hareketle;

  • Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Kanunun 13 üncü maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

05.05.2020: “İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi”
Karar Tarihi : 05/05/2020
Karar No : 2020/336
Konu Özeti : İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi

İlgili kişiden alınan şikâyet dilekçesinde özetle; daha önce personeli olduğu veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, üçüncü kişilerin erişimine açılan kişisel bilgilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgilinin başvurusunda yazı içeriğinde kendisine ait ad, soyad, unvan ve sicil numarasına yer verilerek kişisel bilgilerinin üçüncü kişilerin erişimine açıldığının belirtildiği ancak ilgilinin zaten Üniversiteye bağlı bir birimde görevli olduğundan bu bilgilerin çalıştığı birimde bulunması zorunlu olan bilgiler olduğu, dolayısıyla kişisel bilgilerinin üçüncü kişilerin erişimine açıldığı iddiasının gerçek durumla bağdaşmadığının düşünüldüğü,
  • İlgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden bağlantı kurularak, dilekçesine herhangi bir kasıt olmaksızın cevapla butonu ile yanıt verildiği için doğrudan çalıştığı birime gitmesine neden olunduğu, 
  • Bu çerçevede kişilik haklarının korunması ilkesi doğrultusunda zedeleyici/yıpratıcı bir tutum sergilenmesinin söz konusu olmadığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Kararı ile,

  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğin 6 ncı maddesinde de veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı, 
  • Nitekim veri sorumlusunun Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden ilgili veri sorumlusu tarafından 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmediği,
  • Diğer taraftan, Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, 
  • Kişisel verilerin işlenmesi faaliyetinin Kanunun 3 üncü maddesinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, bu çerçevede başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından veri sorumlusu tarafından Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında  kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı kanaatine varıldığı,
  • 6698 sayılı Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ile aynı maddenin üçüncü fıkrasında birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceğinin hükme bağlandığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusunun 6698 sayılı Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına,
  • Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılmasına ve işlemin sonucu hakkında Kurula bilgi verilmesine

karar verilmiştir. 

05.05.2020: “İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”
Karar Tarihi : 05/05/2020
Karar No : 2020/335
Konu Özeti : İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması hakkındaki şikayeti

İlgili kişiden alınan 25/05/2018 tarihli şikâyet dilekçesinde özetle; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Bununla birlikte,  veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kişisel Verileri Koruma Kuruluna (Kurul) şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir.  

Bu minvalde ilgili kişi tarafından Kuruma iletilen 26/09/2018 tarihli şikayette, Kurumumuz yazısının ardından veri sorumlusuna ilgili kişi adına 03/08/2018 tarihinde başvuruda bulunulduğu ancak 30 günlük yasal süre içinde herhangi bir cevap verilmediği ifade edilerek daha önce Kuruma intikal eden 25/05/2018 tarihli şikayete konu aynı hususlara yer verilmiştir. 

Söz konusu iddialara ilişkin olarak veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğu,
  • İlgili kişinin veri sorumlusuna 23/03/2018 tarihinde yazılı başvuruda bulunduğu, tarafına derhal yazılı cevap verildiği, şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği ve veri sorumlusu tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının değerlendirilerek cevap verilmediği,  
  • Araç kiralama sektörünün giderek büyümesi ve kiralık araç sayılarındaki artış ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kanun koyucunun yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişini zorunlu hale getirdiği, 
  • 6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili hükümlerinin 04/04/2015 tarihinde yürürlüğe girdiği,
  • 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde düzenleme yapıldığı,
  • Bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağı,
  • Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunduğu, 
  • Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği, 
  • Bu nedenle 6698 sayılı Kanununa aykırı olarak hareket etmemek saikiyle ilgili kişinin kiralama hizmetinden yararlandırılmadığı,
  • Taraflarının 6698 sayılı Kanuna uygun hareket ettiği ve bu hususta da ilgili kişinin 29/03/2018 tarihli dilekçesine istinaden bilgilendirildiği, açıklanan tüm bu sebeplerle araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar nedeniyle mesnedi bulunmadığı

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/335 sayılı Kararı ile,

  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğin 6 ncı maddesinde de veri sorumlusunun bu Tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı, 
  • Veri sorumlusunun tarafından Kuruma verilen cevap yazısında şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği dilekçe içeriğinin birebir aynı olduğu, veri sorumlusu tarafından ilk dilekçeye verilen cevabın karşı tarafa iletilmesi konusunda ilgili masrafların taraflarınca karşılandığı, ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığı değerlendirildiğinden cevap verilmediğinin ifade edildiği ancak, Tebliğin “Ücret” başlıklı 7 nci maddesinde, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse on sayfaya kadar ücret alınmayacağı, on sayfanın üzerindeki her sayfa için ise 1 Türk Lirası işlem ücreti alınabileceğinin belirtildiği, 
  • Bununla birlikte başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun ilgili kişinin yetkilisi olduğu tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişinin kendisi adına yapılmış olduğu dikkate alındığında, içerik açısından aynı olsa dahi başvuran kişiler açısından farklı olması sebebiyle iki başvurunun aynı nitelikte olmadığı bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından cevaplanması gerekirken herhangi bir cevap verilmediğinden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak hareket etmediği,
  • Diğer taraftan Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 5 inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de uygun hareket edilmesi gerektiği,
  • Şikayete konu somut olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanununun Ek 3 üncü maddesinin  “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadır” hükmünü haiz olduğu, bu anlamda aracı kiralayan kişinin kişisel verilerinin ve kiralanan aracın bilgilerinin veri sorumlusu tarafından Emniyet Genel Müdürlüğü tarafından hazırlanan Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğu, dolayısıyla Kanunun 5 inci maddesinin ikinci fıkrasının  (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmü ve verilen hizmetin ifası amacıyla aynı fıkranın (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü gereğince kişisel verilerinin işlendiğinin anlaşıldığı, 
  • Ancak ilgili kişinin başvurusunun ekinde yer alan ve veri sorumlusu tarafından imzalatılmak istenen yazının;
     “… olarak Kişisel verilerin korunması mevzuatına uygun hareket edebilmemizi teminen size hizmet sağlayabilme ve hizmetlerimizi geliştirebilme doğrultusunda yürüttüğümüz operasyonlarımız kapsamında mevzuatın istisna kıldığı haller haricinde kişisel verilerinizin işlenmesi ve aktarılması hususunda açık rızanızı almamız gerekmektedir.
    … Kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz. ” 
      
    şeklinde olduğu dikkate alındığında; Kanunun 5 inci maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidilmesi yolunun seçildiği,  şikayete konu olayda da açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığının anlaşıldığı, 
  • Kanunun 3 üncü maddesinde açık rızanın, “belirli bir konuya ilişkin”, “bilgilendirmeye dayanan” ve “özgür iradeyle açıklanan” rıza şeklinde tanımlandığı,  kişinin irade beyanı olan rızanın, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacağından kişinin iradesini sakatlayacak her türlü fiilin, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacağı, bu anlamda açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, kişisel verilerin veri sorumlusu tarafından Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiği

değerlendirmelerinden hareketle;

  • Veri sorumlusuna başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişi adına yapıldığı dolayısıyla iki başvurunun aynı nitelikte olmadığı değerlendirildiğinden ve ilgili kişi tarafından ayrıca e-posta üzerinden başvurularının da mevcut olduğu göz önüne alındığında veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına,
  • Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

22.04.2020: “Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması”
Karar Tarihi : 22/04/2020
Karar No : 2020/307
Konu Özeti : Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması hk.

a) Bilindiği üzere, 6102 sayılı Türk Ticaret Kanununun (6102 sayılı Kanun) 24 üncü maddesinin ikinci fıkrasında yer alan “Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur.” şeklindeki hüküm ile ticaret sicilinin ticaret sicil müdürlükleri tarafından tutulduğu belirtilmiştir. 1 Numaralı Cumhurbaşkanlığı Kararnamesinin “İç Ticaret Genel Müdürlüğü” başlıklı 446 ncı maddesinin birinci fıkrasının (ı) bendi ve Ticaret Sicili Yönetmeliğinin 13 üncü maddesi uyarınca da ticaret sicili işlemleri Merkezi Sicil Kayıt Sistemi (MERSİS) üzerinden gerçekleştirilmekte ve buna ilişkin sicil kayıtları MERSİS’te tutulmaktadır. 

6102 sayılı Kanunun 24 üncü maddesine ait gerekçe metninde, MERSİS’in ticaret sicili kayıtlarının güvenli ve birbirinin yedeği olacak şekilde olmasını sağlayacağı ve ticaret sicili kayıtlarının aleniyetine imkân tanıyacağı belirtilmiştir. Bu anlamda, MERSİS ile getirilen aleniyetle gerçek anlamda şeffaflık sağlanarak kayıtlardaki yolsuzlukların, aykırılıkların ve düzensizliklerin önüne geçilmesi hedeflenmiştir. 

b) Bilindiği üzere,  ticaret sicili alenidir; diğer bir deyişle herkes ticaret sicilinin içeriğini ve dairede saklanan bütün senet ve belgeleri inceleyebilmekte, bunların onaylı suretlerini alabilmekte, bir hususun sicilde kayıtlı olup olmadığına dair onaylı belgenin verilmesini isteyebilmektedir. Nitekim, 6102 sayılı Kanunun 35 inci maddesinde,

(1) Tescil işleminin dayanakları olan dilekçe, beyanname, senetler, belgeler ve ilanları içeren gazeteler, üzerlerine sicil defterinin tarih ve numaraları yazılarak sicil müdürlüğünce saklanır. 
(2) Herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği gibi giderini ödeyerek bunların onaylı suretlerini de alabilir. Bir hususun sicilde kayıtlı olup olmadığına dair onaylı belge de istenebilir. 
(3) Tescil edilen hususlar, Kanun veya Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur. 
(4) İlan, Türkiye genelinde sicil kayıtlarının ilanına özgü Türkiye Ticaret Sicili Gazetesi ile yapılır.
” 
düzenlemesine yer verilmek suretiyle ticaret sicili kayıtlarının aleni bir şekilde tutulduğu ve herkes tarafından sicil kayıtlarının onaylı suretlerinin alınabileceği hükme bağlanmıştır. Yine, Ticaret Sicili Yönetmeliğinin 15 inci maddesinde; “(1) Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir.(…)”  hükmüne yer verilmiştir. Mezkûr hükümle ticaret sicilinin herkes tarafından incelenebileceği ve kayıtların incelenme usulünün ne şekilde gerçekleştirilebileceğine ilişkin hususlar düzenlenmiştir. 

c) Bilindiği üzere, Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verikimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Buna göre tacirlerin ya da şirket hissedarlarının isim, kimlik, adres ve benzeri bilgileri üzerinde Müdürlükler tarafından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu açıktır.

Bu kapsamda, tescil ve ilanı öngörülen bilgiler, kişisel veri de içerdiği ve bu verilere herkes tarafından kolaylıkla ulaşılabildiği için bu verilerin kötü niyetli kullanımını engellemek amacıyla gerek 6102 sayılı Kanunda gerek Ticaret Sicili Yönetmeliğinde birtakım düzenlemeler öngörülmüştür. 6102 sayılı Kanunun 24 üncü maddesinin (5) numaralı fıkrasında, ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel verilerin, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunacağı hükme bağlanmış; Ticaret Sicili Yönetmeliğinin “Sicil kayıtlarına erişim hakkı” başlıklı 15 inci maddesinde de,

(1) Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir. (2) Defterler ve belgeler, sicil dairesinin bulunduğu kısımdan dışarıya çıkarılamaz. Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir.  (3) Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.

düzenlemesine yer verilmiştir. Yine anılan Yönetmeliğin “İlan” başlıklı 41 inci maddesinde bu Yönetmelik uyarınca tescil edilen gerçek kişilerin kimlik numaralarının ilan edilmeyeceği hususu düzenlenmiştir. Nitekim Türkiye Ticaret Sicili Gazetesinde yapılan ilanlarda T.C. kimlik numaraları maskelenmek suretiyle yayımlanmakta, gerçek kişilerin yerleşim yeri adresleri olarak yalnızca il ve ilçe bilgisi ilan edilmektedir. 

Bu kapsamda önemle belirtmek gerekir ki, her ne kadar aleniyet gereği herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilecek olsa da, bu durumun anılan bilgilerin kişisel verilerin korunmasına ilişkin mevzuattan muaf olması anlamına gelmeyeceği; aynı şekilde, aleniyet kapsamında işlenen kişisel verilerin aleniyetin amacıyla örtüşmesi gerektiği ve aleniyet amacı dışında kalan durumlarda bu verilerin işlenmesinin hukuka aykırı olacağı değerlendirilmektedir.

d) Diğer taraftan, Müdürlükler nezdinde tutulan kişisel verilerin çeşitli kamu kurum ve kuruluşlarıyla paylaşılması bir “aktarım” faaliyeti olup, Kanunda yer alan kişisel verilerin işlenmesi tanımında da düzenlendiği üzere, kişisel verilerin aktarımı da bir kişisel veri işleme faaliyetidir. Bu çerçevede, kişisel verilerin yurt içinde aktarımını düzenleyen Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrasında ve özel nitelikli kişisel veriler bakımından yeterli önlemler alınmak kaydıyla 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği, ayrıca kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulduğu hüküm altına alınmıştır. Bu anlamda, ticaret sicili müdürlükleri nezdinde tutulan kişisel verilerin başka kamu kurum ve kuruluşlarıyla paylaşılmasında bir başka ifadeyle diğer kamu kurum ve kuruluşlarına aktarılmasında da 6698 sayılı Kanunun 8 inci maddesine uygun hareket edilmesi gerektiği açıktır.      

Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında ise,  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ikinci fıkrasında belirtilen şartlardan birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır. Anılan işleme şartlarından “Kanunlarda açıkça öngörülmesi”, veri sorumlusunun herhangi bir kanundaki düzenlemeye dayanarak kişisel veri işleyebilmesini ifade etmektedir. Örneğin, 6102 sayılı Kanunun 35 inci maddesine göre sicilin içeriğinin ve müdürlükte saklanan tüm senet ve belgelerin herkes tarafından incelenebileceği hüküm altına alınarak sicilin aleniyetine yönelik düzenlemeler yer almaktadır. Yine, 5490 sayılı Nüfus Hizmetleri Kanununun (5490 sayılı Kanun) “Gizlilik” başlıklı 9 uncu maddesi;

(1) Nüfus kayıtları ve bu kayıtların tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından görülüp incelenemez. Mahkemeler bu hükmün dışındadır. (2) Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da devam eder.” 

hükmünü amirdir. Benzer şekilde, 5490 sayılı Kanunun “Nüfus kayıt örneğini almaya yetkili olanlar” başlıklı 44 üncü maddesi; 

(1) Nüfus kayıt örneklerini; a) Bakanlık, (…) (ç) Adlî makamlar, (…) nüfus müdürlüklerinden doğrudan almaya yetkilidirler. 
(2) Birinci fıkrada sayılanlar dışında kalan kurumlar ve tüzel kişiler, yazılı olarak başvurmak ve istem nedenini açıkça belirtmek suretiyle Bakanlık veya mülkî idare amirinin emri ile nüfus kayıt örneğini alabilirler. Bakanlık bu madde hükümlerini işletmek üzere Kimlik Paylaşımı Sistemi kurar. 
(…)

hükmünü amirdir. Belirtmek gerekir ki, anılan Kanunun 7039 sayılı Kanunla değişiklik yapılan 45 inci maddesinde de, yerleşim yeri ve diğer adres bilgilerini de içeren Kimlik Paylaşım Sisteminin kullanılmasına ilişkin usul ve esaslar hükme bağlanmıştır.  Görüleceği üzere, kimlik bilgilerinin ve yerleşim yeri bilgilerinin paylaşımına ilişkin usul ve esasları belirleyen kanun olan 5490 sayılı Nüfus Hizmetleri Kanunu, bu verilerin paylaşımı noktasında özel düzenleme niteliğini haizdir.

Bu kapsamda, Nüfus Hizmetleri Kanununa göre kimlik bilgilerini paylaşmaya yetkili merci nüfus müdürlükleri olup, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun Nüfus Hizmetleri Kanununa aykırı olduğu, bir başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiği değerlendirilmektedir.

e) Öte yandan, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. 

Sonuç olarak, yukarıda yer verilen açıklamalar çerçevesinde;

  • Müdürlük tarafından tutulan ticaret sicilinin kişisel verileri içerdiği ve sicilde yer alan kişisel veriler bakımından Müdürlüğün kişisel veri işleme faaliyetini gerçekleştirdiği; 
  • Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinden muaf olacağı anlamını taşımadığı,
  • Bu kapsamda Müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların Kanunun 8 inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği; 
  • Aktarımı talep edilen kişisel verilerin, bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesi,
  • Her türlü kişisel veri işleme faaliyetinde özellikle Kanunun 4 üncü maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği

değerlendirilmektedir.

02.04.2020: “Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında”
Karar Tarihi : 02/04/2020
Karar No : 2020/255
Konu Özeti : Veri sorumlusu eğitim kurumu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi

Kuruma intikal eden şikâyette;  şikayetçinin velisi bulunduğu çocuklarının veri sorumlusuna ait okulda eğitim gördüğü, gerek bu öğrencilere gerekse de diğer öğrencilerin okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği, aynı madde hükmünce ilgili kişilerin veya velisinin açık rızası bulunmadan bu verilerin işlenmesinin kesinlikle yasaklandığı, veri sorumlusunun uzun süredir şikayetçinin velayeti altında bulunan çocuklara eğitim vermekte iken hiçbir kayıt işleminde kişisel verilerin işlenmesinden bahsetmediği, Kanunun 10 uncu maddesi hükümlerince aydınlatma yükümlülüğünün yerine getirilmediği, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alınamadığı bu çerçevede Kurula şikâyette bulunulduğu belirtilerek, veri sorumlusunun Kanunun 18 inci maddesi uyarınca aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerini ihlal fiillerinden dolayı cezalandırılması, işlenen verilerin Kanunun 7 nci maddesi doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi ve yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Öncelikle şikayetçinin iddialarının aksine sadece bir çocuğuna bahse konu testin uygulandığı,
  • Şikayete konu edilen testin hukuki dayanağının; eğitim kurumlarında sunulacak rehberlik hizmetlerinin amaç, ilke, faaliyet ve çalışma yöntemlerini düzenleyen “Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği” (10 Kasım 2017 tarihli ve 30326 sayılı R. G.) olduğu, söz konusu Yönetmeliğin 6 ncı maddesi uyarınca rehberlik hizmetlerinin eğitsel rehberlik, mesleki rehberlik ve kişisel/sosyal rehberlik olarak üç temel alana ayrıldığı,
    • Bu kapsamda eğitsel rehberliğin “bireyin yetenek, ilgi, ihtiyaç, değer, kişilik özellikleri, imkân ve koşullarıyla uyumlu eğitsel kararlar alması; eğitime ilişkin olumlu tutum geliştirmesi ve hayat boyu öğrenme sürecinde bireyin gelişimine destek olunması amacıyla bireye ve ailesine sunulan hizmet” (Madde 6 (1) (a)); kişisel/sosyal rehberliğin ise “bireyin bilişsel, sosyal, duygusal, ahlaki ve davranışsal gelişimini desteklemek amacıyla kendini tanıması; karar verme ve problem çözme gibi sosyal beceriler ile yaşam becerilerini geliştirmesi ve sorumluluk sahibi bir birey olarak hayatına devam edebilmesi için bireye ve ailesine sunulan hizmet” (Madde 6 (1) (c)) olarak tanımlandığı,  
    • Aynı Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasının (b) bendinde “İlkokul kademesinde rehberlik hizmetleri; öğrencinin okula uyum sağlamasına, eğitim ortamlarına ve öğrenmeye yönelik olumlu tutum geliştirmesine; öğrenmeyi öğrenme ve öğrendiklerini aktarmaya yönelik bilişsel becerileri kazanmasına; etkili öğrenmeye yönelik stratejiler geliştirme, duyguları tanıma, kendini ifade etme gibi sosyal beceriler ile zorlu yaşam olaylarıyla baş etme becerileri kazanmasına; kişilik gelişimini ve mesleki gelişimlerini desteklemeye yönelik olarak eğitsel, mesleki ve kişisel/sosyal rehberlik hizmetleri kapsamında yürütülür.” hükmünün yer aldığı,
    • Bu çerçevede eğitim kurumlarında sunulan rehberlik hizmetinin amacının ölçme değerlendirme araçları ve diğer yöntemleri kullanarak öğrencilerin durumlarının tespit edilip desteklenmesi gereken alanlarda çalışma yürütmek olduğu,
    • Rehberlik hizmetlerinin yerine getirilebilmesi ve amaçlarının sağlanabilmesi için “bireyin tanınması” nın zorunlu olduğu ve öğretmenlerin görevleri arasında olduğu, Yönetmeliğin 9 uncu maddesinin (1) numaralı fıkrasına göre bireyi tanımanın, “bireyin kendi ilgi, yetenek, değer, tutum ve kişilik özelliklerini keşfetmesini ve gerçekçi kararlar almasını sağlamak amacıyla rehberlik öğretmeni, sınıf rehber öğretmeni ve diğer öğretmenler tarafından yürütülen bilgi toplama süreci” olarak tanımlandığı ve aynı maddenin aynı fıkrasının (c) bendine göre bireyin tanınması sürecinde farklı ölçme araçlarının, yöntemlerinin ve tekniklerinin kullanılmasının mümkün olduğu,
    • Yönetmelik ile “rehberlik ve araştırma merkezleri ile rehberlik servislerinin bireyi tanıma, tanılama, tarama ve inceleme çalışmalarında kullanabilecekleri çeşitli test, anket ve envanterler”in psikolojik ölçme araçları olarak tanımlandığı ve Yönetmeliğin 10 uncu maddesinde rehberlik hizmetlerinde bireyi tanıma çalışmalarında kullanılacak psikolojik ölçme araçlarının sağlanmasına ilişkin amaç ve uygulama ilkelerinin belirlendiği,
  • Bu çerçevede testin amacının rehberlik faaliyeti kapsamında öğrenciye eğitsel, kişisel, sosyal rehberlik hizmeti ile sınırlı olduğu, yürütülen faaliyetin hukuka uygun, belirli, açık ve meşru olduğu, testin uygulanmasına ilişkin velilerin bilgisi ve onayının bulunduğu,
  • Öğrencinin velisi ile veri sorumlusunun rehberlik servisi arasında yapılan rehberlik görüşmesinde; öğrencinin öfkeli ve kaygılı olduğu, konuşurken heyecanlandığı, ikinci defa tekrarlamak istemediği, arkadaşları tarafından alay edilebildiği, içe dönük yapısı olduğu gibi konularda dikkatli olunması gerektiği hususunda veli tarafından bilgilendirme yapıldığı, bunun üzerine rehberlik hizmetine başlandığı, akabinde veri sorumlusunun rehberlik servisi ile öğrencinin velileri (anne ve baba) arasında çeşitli tarihlerde rehberlik görüşmelerinin devam ettiği ve bu görüşmelere ilişkin velilerin imzasını da içeren Bireysel Görüşme Formlarının düzenlendiği,
  • CAS testinin öğrencinin velisinin bilgisi ve onayı ile başlanan rehberlik faaliyeti çerçevesinde öğrencinin durumunu tespit etmek, öğrenciyi tanımak, öğrencinin yetenek ve ilgi alanlarını belirleyerek öğrencinin bilişsel ve akademik gelişmesini sağlayabilmek amacıyla uygulandığı ve şikayetçinin başvurusuna verilen cevapta da bunun belirtildiği,
  • Testin sonucuna ilişkin değerlendirmelerin öğrencinin velisi ile paylaşıldığı, veli ile yapılan e-posta yazışmalarında veli tarafından kendisine iletilen söz konusu test değerlendirmelerinin öğrenciyi takip eden psikiyatrist ile de paylaşıldığının belirtilmesinin ve rehberlik birimine öğrencinin tedavisi ile ilgili bilgi verilmesinin, velinin CAS testinin uygulandığından haberdar olduğunu gösterdiği, 
  • Uygulanan testin milli eğitim mevzuatı çerçevesinde, rehberlik faaliyetlerinde uygulanmasına cevaz verilen psikolojik bir ölçme aracı olduğu ve öğrenciye ilişkin kişisel verilerin işlenmediği ve üçüncü şahıslarla paylaşılmadığı, söz konusu test kitapçığının Kuruma iletildiği,
  • Testin Milli Eğitim Bakanlığının Rehberlik Hizmetleri mevzuatı çerçevesinde, rehberlik hizmetleri amaçları doğrultusunda uygulandığı ve veri sorumlusu eğitim kurumunun mevzuat ile tanımlanmış görev ve yetkilerini aşmadığı, testin uygulanmasında Kanuna aykırı davranılmadığı 

belirtilmiştir.

19.03.2020: “İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması”
Karar Tarihi : 19/03/2020
Karar No : 2020/226
Konu Özeti : İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması

Kuruma intikal eden şikâyet başvurusunda, ilgili kişinin, veri sorumlusu bir Valilikte görev yapmakta iken, veri sorumlusunun bir çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin veri sorumlusuna dijital ortamda sunulduğu, söz konusu verilere dayanılarak ilgili kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı ve disiplin cezası aldığı, başka bir ilde alt kadroya atandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında İçişleri Bakanlığına müracaat ederek Kanuna aykırı olarak gerçekleştirilen disiplin soruşturması sonucunda tarafına verilen disiplin cezalarının ve atama işleminin iptali ve hukuka aykırı olarak elde edilen ve üçüncü şahıslara aktarılan kişisel verilerinin yok edilmesi talebinde bulunduğu, İçişleri Bakanlığının bu talebi veri sorumlusuna gönderdiği, veri sorumlusu tarafından disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talebe karşılık yetersiz bir cevap verildiği iddia edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 19/03/2020 tarih ve 2020/226 sayılı Kararı ile,

  • Kanunun 15 inci maddesinin (1) numaralı fıkrasında Kişisel Verileri Koruma Kurulunun şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen
    a) Belli bir konuyu ihtiva etmeyen,                            
    b) Yargı mercilerinin görevine giren konularla ilgili olan,                
    c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan 
    ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
  • Öte yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında, kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 135 inci maddesinde hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği, 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı, 
  • Diğer taraftan, Kanunun istisnalar başlıklı 28 inci maddesinin (2) numaralı fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (c) bendinde yer alan kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumunda uygulanmayacağının belirtildiği

değerlendirmelerinden hareketle;

  • Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi de dikkate alınarak söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Veri sorumlusunun işlediği kişisel verilerin disiplin soruşturma veya kovuşturması kapsamında Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiğinden bu aşamada Kanun çerçevesinde yapılacak bir işlem bulunmadığına,
  • Öte yandan işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların ise 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı dikkate alınarak, ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması dolayısıyla veri sorumlusu tarafından karşılanmasının mümkün olmadığına

karar verilmiştir.

12.03.2020: “Ses kayıt özelliği bulunan güvenlik kamerası kullanılması”
Karar Tarihi : 12/03/2020
Karar No : 2020/212
Konu Özeti : Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılması hk.

6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi” ise; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”, (ç) bendi uyarınca “ilgili kişi”; “kişisel verisi işlenen gerçek kişiyi”, (ı) bendi uyarınca “veri sorumlusu”; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi” ifade etmektedir. Görüldüğü üzere; Kanun kişisel veri işleme faaliyetini tanımlarken örnek olması adına birtakım işlemden bahsetmiş fakat işleme faaliyetini bunlarla sınırlı tutmamıştır. Bu anlamda, kişisel veriler üzerinde gerçekleştirilecek her türlü eylem, kişisel veri işleme faaliyeti olarak kabul edilecek ve Kanun kapsamında değerlendirilecektir. 

Kanunun 5 inci maddesinde ise kişisel verilerin işlenme şartlarına yer verilmiş olup; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “-Hukuka ve dürüstlük kurallarına uygun olma. -Doğru ve gerektiğinde güncel olma. -Belirli, açık ve meşru amaçlar için işlenme. -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan verilerin işlenmesinden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.

Bu kapsamda kişisel verilerin korunması hakkı, Anayasanın “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrasında; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklinde hüküm altına alınmıştır. Bu düzenleme ile kişisel verilerin korunması hakkına anayasal bir nitelik kazandırılmış olup; bir temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasanın 13 üncü maddesine uygun bir şekilde gerçekleştirilecektir. Nitekim, Anayasanın 13 üncü maddesi; “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” hükmünü amirdir. Görüldüğü üzere; bir temel hak ve özgürlüğün sınırlandırılmasının söz konusu olduğu hallerde; hakkın özüne dokunulmaması ve sınırlamanın Anayasanın sözüne, ruhuna, demokratik toplum düzenine, laik Cumhuriyetin gerekleri ile ölçülülük ilkesine aykırı olmaması gerekmektedir. 

Bu hususa ilişkin olarak Anayasa Mahkemesinin 28/09/2017 tarihli ve 2016/125 E. 2017/143 K. sayılı kararında da; “…

24. Anayasa’nın 20. maddesinin üçüncü fıkrasında ise “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü yer almaktadır.

25. 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği belirtilmektedir.

26. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesinde “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” denilmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakları, yalnızca kanunla ve demokratik bir toplumda gerekli olduğu ölçüde sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.

27. Temel hak ve özgürlükler özlerine dokunulmaksızın yalnızca Anayasa’da öngörülen sebeplerle ve ancak kanunla sınırlanabilir. Dokunulamayacak “öz”, her temel hak ve özgürlük açısından farklılık göstermekle birlikte kanunla getirilen sınırlamanın hakkın özüne dokunmadığının kabulü için temel hakların kullanılmasını ciddi surette güçleştirip amacına ulaşmasına engel olmaması ve etkisini ortadan kaldırıcı bir nitelik taşımaması gerekir. 

 28. Temel hak ve özgürlüklerin özlerine dokunulmaksızın yapılan sınırlamaların ise demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine aykırı olamayacağı belirtilmiştir. Öze dokunma yasağını ihlal etmeyen müdahaleler yönünden gözetilmesi öngörülen “demokratik toplum düzeninin gerekleri” kavramı, öncelikle ilgili hak yönünden getirilen sınırlamaların zorunlu ve istisnai tedbir niteliğinde olmalarını gerektirmektedir. “Demokratik toplum düzeninin gerekleri”nden olma, bir sınırlamanın demokratik bir toplumda zorlayıcı bir toplumsal ihtiyacın karşılanması amacına yönelik olmasını ifade etmektedir.

29. Anayasa’nın 13. maddesinde ifade edilen “ölçülülük ilkesi”, temel hak ve özgürlüklerin sınırlandırılmasına ilişkin başvurularda dikkate alınması gereken bir diğer ilkedir. Demokratik toplum düzeninin gerekleri ve ölçülülük ilkeleri, iki ayrı kriter olarak düzenlenmiş olmakla birlikte bu iki kriter arasında sıkı bir ilişki vardır. Temel hak ve özgürlüklere yönelik herhangi bir sınırlamanın başvurulabilecek en son çare ya da alınabilecek en son önlem olarak temel haklara en az müdahaleye olanak veren ölçülü bir sınırlama niteliğinde olup olmadığının incelenmesi gerekir.

30. Demokratik toplum kişilerin temel hak ve özgürlüklerinin en geniş şekilde güvence altına alındığı bir düzeni gerektirir. Demokrasilerde devlete düşen görev temel hak ve özgürlükleri korumak ve geliştirmek, bunların etkili şekilde kullanılmasını sağlayacak tedbirleri almaktır. Bu kapsamda devlet, özellikle temel hak ve özgürlükleri ortadan kaldıracak veya bunlara ölçüsüz müdahale teşkil edecek tutumlardan kaçınmalı ve başkalarından gelebilecek tehditlere karşı bireyleri korumalıdır.

31. Özel hayatın gizliliği ve kişisel verilerin korunması hakkı, temel hak ve özgürlükler arasında önemli bir yer alır. Özel hayatın gizliliğinin korunması, bu hayatın başkalarının gözleri önüne serilmemesi demektir. Kişinin özel hayatının, yalnız kendisi veya kendisinin bilmesini istediği kimseler tarafından bilinmesini isteme hakkı, kişinin temel haklarından biridir ve bu niteliği nedeniyle insan haklarına ilişkin beyanname ve sözleşmelerde yer almış; demokratik ülkelerin mevzuatında açıkça belirlenen istisnalar dışında devlete, topluma ve diğer kişilere karşı korunmuştur. Kişisel verilerin korunması hakkı ise özel hayatın gizliliği hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri ve bilgilerin resmî makamların keyfî müdahalelerine karşı korunması mümkün olabilir.

” açıklamalarına yer verilmiştir. 

Bu açıklamalardan da anlaşılacağı üzere, temel hak ve özgürlük niteliğini haiz kişisel verilerin korunması hakkının sınırlandırılmasının, demokratik bir toplumda gerekli olduğu ölçüde, hakkın kullanımının ciddi surette güçleştirilip amacına ulaşmasının engellenmemesi ve etkisinin ortadan kaldırılmaması şartıyla mümkün olmasının yanı sıra, Devlet’in de bu tür hakları ortadan kaldıracak veya bu haklara ölçüsüz müdahale teşkil edecek tutumlardan kaçınması gerekmektedir. Dolayısıyla, kişisel verilerin korunması hakkını sınırlayan hükümlerin, hakkın kullanımını ciddi surette güçleştirip amacına ulaşmasını engelleyecek ve etkisini ortadan kaldıracak şekilde geniş yorumlanmaması, aksine bu hükümlerin bir Anayasal hakkın istisnası olduğu bilinci ile dar yorumlanması gerektiği değerlendirilmektedir.

Bu açıklamalar çerçevesinde, sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı açıktır. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği değerlendirilmektedir. Ayrıca belirtmek gerekir ki, güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği değerlendirilmiştir.

27.02.2020: “İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında”
Karar Tarihi : 27/02/2020
Karar No : 2020/187
Konu Özeti : İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmektedir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddesinin birinci fıkrasında Kişisel Verileri Koruma Kurulunun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin ikinci fıkrasında ise; 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen; 
        a)    Belli bir konuyu ihtiva etmeyen, 
        b)    Yargı mercilerinin görevine giren konularla ilgili olan,
        c)    4 üncü maddede gösterilen şartlardan  (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan
    ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
    Kanunun 17 nci maddesinin birinci fıkrasında kişisel verilere ilişkin suçlar bakımından 26/09/2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağının belirtildiği,
  • Türk Ceza Kanununun 135 inci maddesinde hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceğinin, 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı,

hususlarından hareketle,

  • İlgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir. 
27.02.2020: “İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması”
Karar Tarihi : 27/02/2020
Karar No : 2020/172
Konu Özeti : İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması

İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde Hastaneden savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin, tarafları nezdinde SMS gönderimine ilişkin herhangi bir açık rızasının bulunmadığı,
  • İlgili kişinin kişisel verilerinin hiçbir şekilde taraflarınca işlenmediği
  • İlgili kişinin kişisel verilerinin yurt içinde ve yurt dışında hiç kimseye aktarılmadığı, çünkü ilgili kişinin kişisel verilerinin bünyelerinde işlenmediği,
  • Reklam içerikli telefon aramalarından herhangi bir şekilde haberlerinin olmadığı, ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
  • Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı

ifade edilmiştir.

Bununla birlikte, şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastanenin internet sitesinin iletişim bölümünde yer alan numara arandığında ise karşı tarafça  şikâyete konu telefon numarasının da Hastanenin checkup merkezi olarak açıldığı yönünde bilgi verildiğinden, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgilerle birlikte Kuruma iletilmesi talep edilmiştir.

Hastane tarafından Kuruma iletilen cevap yazısında özetle:

  • Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,
  • Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,
  • Müşterilerin Hastane tarafından bulunmadığı bu nedenle ilgili kişinin herhangi bir bilgisinin bünyelerinde bulunmadığı, Firmanın ilgili kişinin bilgilerini ne şekilde bulduğu, bulup bulmadığı vb. konularda taraflarının bilgilendirilmediği,
  • Hastane bünyesinde ilgili kişinin bilgilerinin bulunması ve gerekli onayı almış olması halinde taraflarının bu kişiyi direkt arayacağı ve checkup ile ilgili bilgileri bildireceği, başka bir firmanın checkup hizmeti için taraflarına hasta yönlendirmesi halinde komisyon aldığı dikkate alındığında Hastanenin kendi bünyesinde bulunan bilgileri bir başka firma ile paylaşmasının da hukuki ve mantıken açıklanabilecek yönünün de bulunmadığı, 
  • Firmanın, Hastaneye bağlı bir firma veya Hastanenin checkup departmanının da olmadığı, Firmanın sadece taraflarına kanuna uygun olarak hasta bulmakta olduğu, Firmanın kendisini Hastanenin checkup departmanı gibi yani kendilerine bağlı bir firma gibi tanıttığının tespit edilmesi halinde konu ile ilgili de Firma ile hukuki girişimlere başlanılacağı,
  • Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığı, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi hiçbir zaman taraflarından tedavi hizmeti almadığı, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediği, Firmanın hukuka ve sözleşmeye uygun olarak taraflarına hasta yönlendirme hizmeti vermekte olduğu sözleşme gereğince de hasta temin etme hususunda hukuka aykırı bir işlem yapması halinde Firmanın sorumlu olacağının açıkça düzenlendiği

açıklamalarına yer verilmiştir.

Müteakiben, söz konusu iddialara ilişkin Firmadan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişiye ilişkin Hastane adına arama yapıldığı, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğu, ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığı, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığı, bünyelerinde kişisel verilerin tutulmadığı, çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile kullanılarak randevuların düzenlediği, bu nedenlerle yurt içine ya da yurt dışına herhangi bir kişisel veri aktarımının söz konusu olmadığı, bu açıklamalar doğrultusunda şikâyetin reddine karar verilmesinin talep edildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Kararı ile,

  • Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;
    • Sözleşme konusunun, Hastanenin bünyesinde sunulan checkup panelinin Firma tarafından üçüncü kişilere pazarlanması ve satışı ile yapılan satıştan sonra Hastanenin bu hizmeti karşılaması ve aradaki ticari işlemleri kapsadığı,
    • Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği,
    • Firmanın kendisi için tasarlanmış checkup panelini piyasa şartları çerçevesinde Hastaneden yazılı onay almak suretiyle kendisinin belirleyebileceği, satışı artırmak için gerekli noktalarda kampanyalar ve aktiviteler düzenleyebileceği,
    • Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,
    • Firmanın bu sözleşme devam ettiği sürece bu ürünü ister web sitesi aracılığı ile ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği
    • Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu,
    • “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği, 
    • Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği server’ların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği,
    • Müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemedikleri,
    • Tüm arama, satış, backoffice, teslim ve takip adımlarının giriş ve yönetiminin dijital ortamda yapıldığı, ofiste müşteri bilgi güvenliğini tehlikeye sokacak gereksiz matbu formların kullanılmadığı

şartlarına yer verildiğinin görüldüğü,

  • Kanunun 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, diğer bir ifadeyle, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği, ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,
  • Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde de çağrı merkezinin veri işleyen olduğu; “… veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.” şeklinde açıklandığı,
  • Bununla birlikte Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunun “Veri sorumlusu bazı işlerini çağrı merkezine bırakır ve çağrı merkezine veri sorumlusunun müşterilerini veri sorumlusunun kimliğini kullanarak arama talimatı verir. Bu durumda müşterilerin beklentileri ve veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunma şekli dış kaynak firmasının veri sorumlusu adına bir veri işleyen olarak hareket ettiği sonucunu doğurur.” şeklindeki örnekle açıklandığı,
  • Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;  bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Hastanenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Hastanenin meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan  “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği”  hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu,  bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
27.02.2020: “İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında”
Karar Tarihi : 27/02/2020
Karar No : 2020/166
Konu Özeti : İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması

Kuruma intikal eden şikayette; ilgili kişi ile veri sorumlusu araç kiralama şirketi arasında imzalanan araç kiralama sözleşmesi kapsamında ilgili kişinin 1 günlük süreyle araç kiraladığı ve söz konusu sözleşme uyarınca araç kiralama bedeli ve provizyonun çekilmesi için ...22 ile biten kredi kartının kullanımına onay verildiği, kiralama süresi içerisinde 1 kez HGS kullandığı ve kiralama süresi sona erdiğinde aracı teslim ettikten sonra telefonuna gelen SMS ile söz konusu HGS bedelinin …67 ile biten başka bir kredi kartından tahsil edilmeye çalışıldığını fark ettiği, bunun üzerine müşteri temsilcisini aradığında “araç kira bedeli ödemesi hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisini edindiği, yaşadığı olay ile ilgili olarak kişisel veri güvenliğinin ihlal edildiği gerekçesi ile tarafına açıklama yapılması için müşteri hizmetleri ile birçok kez görüşme yaptığı ve konuya ilişkin şikâyetlerini elektronik posta yolu ile de müşteri hizmetlerine bildirdiği, müşteri hizmetleri tarafından konunun hukuk birimine yönlendirildiğinin belirtildiği ancak olayın üzerinden 2 ay geçmesine rağmen kendisine son yazışma tarihinden itibaren hiç bir geri dönüş yapılmadığı, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesine aykırılık teşkil ettiği, sözleşmede belirtilen …22 ile biten kredi kartı yerine, hiçbir şekilde onayının ve bilgisinin bulunmadığı belirtilerek, kullanımına izin vermediği …67 ile biten diğer kredi kartı bilgilerini alan ve kullanan veri sorumlusu araç kiralama şirketi hakkında gerekli yaptırımın uygulanarak kendisine bilgi verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin …67 ile biten kredi kartı bilgilerinin araç kiralama sözleşmesinden önce yapılan başka bir kiralama sözleşmesinde ilgili kişi tarafından kendilerine bildirildiği ve kira sözleşmesi gereği, sözleşme ile bildirilen kredi kartından yine kiracının yazılı onayı ile “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan  … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim.” diyerek kira sözleşmesindeki bu onayı ile kredi kartı veri işlemi olduğu,
  • Araç kiralama sözleşmesi gereği tahsil edilmek istenen bedelin bir önceki sözleşmede bildirilen kredi kartından çekilmesi işleminin hukuki dayanağını; kira sözleşmesinin “Madde 2 – Ödeme” başlığı altında yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” şartının oluşturduğu, bu nedenle daha önceki kira sözleşmelerinde bildirilen kredi kartlarının mevcut sözleşme şartı gereği daha sonraki kiralamalarında kullanıldığı, ilgili kişi tarafından kullanılmaması talep edildiğinde ise kullanılmadığı,
  • Veri sorumlusu tarafından kişisel veri işlenmesinin hukuki gerekçelerinin;
    • 6698 sayılı Kanun Madde 5 (2) (c) – “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve
    • 6698 sayılı Kanun Madde 5 (2) (f) – “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” olduğu,
  • •    İlgili kişinin araç kiralama sözleşmesi kapsamında aracı kiraladığı süre içerisinde oluşan HGS geçiş ücretinin bir önceki kira sözleşmesinde bildirdiği …67 ile biten kredi kartından tahsil edilme girişiminde bulunulduğu ancak bu karttan bir çekim olmadığı, aynı gün içinde araç kiralama sözleşmesi ile bildirilen …22 ile biten kredi kartından çekimin yapıldığının tespit edildiği, 
  • Kişinin  …67 ile biten kredi kartının kullanılmaması yönünde şirketlerine başvuru yaptığı, kişiye müşteri hizmetleri tarafından hukuk biriminden bilgi iletileceğinin bildirildiği ancak müşteri hizmetlerinin bir anlık dalgınlığı nedeniyle sehven konunun hukuk birimine aktarılmadığının tespit edildiği,
  • Kira sözleşmelerinde yer alan açık hüküm sebebiyle şirketin tahsilat yapma hakkı olmasına rağmen kişinin bu talebinin özel kabul edilerek ve Kanun önemsenerek sistemde bulunan tüm kredi kartı bilgilerinin silindiği, silme işleminin Kanuna uygun olarak gerçekleştirildiği, silme işlemine ilişkin olarak şirketin genel müdürü ve yazılım yetkilileri arasındaki e-posta yazışmalarının ekte sunulduğu, yedeklemeler ile de silme işleminin iptal edildiğinin ispat edildiği; yedekleme verisinin içerisinde başka kişisel veriler olduğu için Kuruma iletilemediği, aynı şekilde veri silme işlemine ilişkin veri tabanı görüntülerinin de başkaca kişisel veriler bulunması sebebiyle sunulamadığı, 
  • Yine kira sözleşmelerinin içerisinde kişiye ait başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı ancak Kurumun talebi halinde bu dokümanların sunulmaya hazır olunduğu belirtilerek veri sorumlusu tarafından ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kredi kartı bilgisinin kira sözleşmesi gereği kullanıldığı ve meşru menfaatler çerçevesinde işlem yapıldığı, ayrıca kişinin talebi üzerine 7 gün içerisinde veri tabanından tüm kredi kartı bilgileri silindiği

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/166 sayılı Kararı ile,

  • İlgili kişinin 1 günlük araç kiralamak amacıyla veri sorumlusunun web sayfası üzerinden rezervasyon yaptığı, rezervasyon sırasında kiralama ücretinin ön provizyon olarak,  kira sözleşmesi kapsamında kendisinin kullanımına rıza gösterdiği ve onay verdiği …22 ile biten kredi kartından tahsil edildiği, söz konusu kiralama süresi içerisinde ortaya çıkan HGS ücretinin (4.13 TL) ise veri sorumlusu tarafından ilgili kişinin daha önceki farklı bir kiralama sözleşmesi kapsamında kullanımına onay verdiği …67 ile biten kredi kartından tahsil edilmeye çalışıldığı ancak söz konusu kredi kartının internetten alışveriş işlemlerine kapalı olduğu için işlemin gerçekleştirilemediği, bu nedenle söz konusu HGS ücretinin yine aynı gün içinde, mevcut sözleşmesinde bildirdiği …22 ile biten kredi kartından tahsil edildiği, 
  • Veri sorumlusu tarafından ilgili kişi ile yapılan araç kiralama sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” maddesine dayanılarak HGS ücretinin ilgili kişi ile yapılan daha önceki bir sözleşme kapsamında bildirilen kredi kartından tahsil edilmeye çalışıldığının belirtildiği, ancak veri sorumlusu tarafından mevcut sözleşme kapsamında yer alan “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim” maddesi gereği; ilgili kişinin kullanımına onay verdiği kredi kartının geçerliliğinin ön provizyon bedeli alınarak onaylandığı ve bu karttan kiralama ücreti ve diğer ücretlerin tahsilatının yapılabildiği, bu nedenle somut vakada, söz konusu sözleşme maddesinde belirtilen “kiracı tarafından bildirilen kredi kartından tahsilat yapılamaması” durumu gerçekleşmediği için, veri sorumlusunun 4.13 TL olan HGS bedelini daha önceki araç kiralama sözleşmesi kapsamında bildirilen farklı bir kredi kartından tahsil etmeye çalışmasının gerekçesi ve hukuki dayanağını bu maddenin oluşturamayacağı,
  • Ayrıca hem ilgili kişinin müşteri temsilcisi ile yaptığı görüşme sonucunda edindiği “araç kira bedeli ödemesi, hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisi, hem de veri sorumlusunun web sayfasında yer alan “Araç Kiralama Koşulları” metninde ödemeye ilişkin başlıklar altında yapılan açıklamalar dikkate alındığında; ödemenin mevcut sözleşme kapsamında bildirilen ve kullanımına onay verilen kredi kartından tahsil edileceğinin anlaşıldığı, araç kira sözleşmesinde yer aldığı iddia edilen “daha önce yapılan bir sözleşme kapsamında bildirilen başkaca bir kredi kartından da tahsil edilebileceği” bilgisine yer verilmediği,
  • Diğer taraftan, “Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik”in (17.06.2014 tarihli ve 29033 sayılı R.G. ) “Haksız Şart” başlıklı 5 inci maddesinde “(1) Tüketici ile kurulan sözleşmelerde yer alan bir şartın haksız şart olarak kabul edilebilmesi için; a) Tüketiciyle müzakere edilmeden sözleşmeye dahil edilmesi, b) Tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olması, unsurlarının bir arada bulunması gerekir. (2) Bir sözleşme şartının önceden hazırlanması ve standart sözleşmede yer alması nedeniyle tüketicinin sözleşmenin içeriğine etki edememesi durumunda, o sözleşme şartının tüketiciyle müzakere edilmediği kabul edilir. Sözleşmeyi düzenleyen, bir standart şartın münferiden müzakere edildiğini iddia ediyorsa bunu ispatla yükümlüdür” ve “Haksız Şartların Sözleşmeye Etkisi” başlıklı 7 nci maddesinin 1. fıkrasında ise “Tüketiciyle kurulan sözleşmelerde yer alan haksız şartlar kesin olarak hükümsüzdür. Ancak sözleşmenin haksız şartlar dışındaki hükümleri geçerliliğini korur. Bu durumda sözleşmeyi düzenleyen, kesin olarak hükümsüz sayılan şartlar olmasaydı diğer hükümlerle sözleşmeyi yapmayacak olduğunu ileri süremez” hükümlerinin yer aldığı, bu çerçevede söz konusu kira sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” hükmünün somut vaka itibariyle ilgili kişi aleyhine bir durum oluşturduğu ve ilgili kişinin makul beklentisini ve çıkarlarını göz önüne almayarak dürüstlük kurallarına aykırılık teşkil ettiği,
  • Veri sorumlusunun savunmasında, kira sözleşmelerinin içeriğinde ilgili kişiye ilişkin başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı, ancak Kurumun talebi halinde sunulmaya hazır olunduğunun belirtildiği, buna istinaden Kurumun ek bilgi/belge talebini içeren resmi yazısının tebliğ tarihi itibariyle veri sorumlusu tarafından Kuruma herhangi bir bilgi/belge iletilmediği, Kurum tarafından ek bilgi belge kapsamında talep edildiği halde veri sorumlusu tarafından gönderilmeyen söz konusu kira sözleşmesinin, tüketici ile hizmet sunucu arasındaki sözleşmelere ilişkin genel uygulamalar da dikkate alınarak, ilgili kişi ile müzakere edilmeksizin tek taraflı olarak hazırlandığı ve matbu bir şekilde ilgili kişiye sunulduğu kanaatine varıldığı,
  • Tüm bu nedenlerle sözleşmede yer alan söz konusu maddenin uygulanmasına yer olmadığı ve ayrıca “haksız şart” niteliğine uyduğu değerlendirilmekte olup veri sorumlusunun ilgili kişinin eski sözleşmesinde yer alan kredi kartı bilgilerini kullanmaya devam etmesini, ilgili sözleşme hükmünü işaret ederek “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kişisel veri işleme şartına dayandırmasının uygun olmadığı,
  • Aynı şekilde somut olayda, veri sorumlusunun mevcut durumda ön provizyon işlemi ile geçerliliğini ve limitini onayladığı ilgili kişinin sözleşme kapsamında kullanımına izin verdiği kredi kartı bilgisine sahip olduğu ve ödemeyi bu kredi kartından tahsil edebileceği halde daha önce elde ettiği başka bir kredi kartı bilgisini kullanmaya çalışması ve ilgili kişiye ait toplam üç kredi kartına ilişkin bilgilerin daha sonra kullanılabileceği düşüncesiyle sisteminde saklaması faaliyetine ilişkin olarak; menfaatlerin yarışabilir olmadığı, kişinin hem ilgili kişi hem de tüketici olarak zayıf konumda olan taraf olduğu, dolayısıyla temel hak ve hürriyetlerinin ihlale açık olduğu ve ilerde söz konusu veri işleme faaliyetinden (haber verilmeksizin kredi kartından tahsilat/ çekim vb. yapılabilmesi suretiyle) zarar görebileceği hususları dikkate alınarak yapılan değerlendirme ile, söz konusu veri işleme faaliyetinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kişisel veri işleme şartına dayandırılmasının da uygun olmadığı, söz konusu veri işlemenin açık rızaya veya diğer kişisel veri işleme şartlarından herhangi birine dayandırılamayacağı ve hukuka aykırı bir veri işleme olduğu kanaatine varıldığı,
  • Söz konusu veri işleme faaliyetinin; kira sözleşmesinin yukarıda bahsi geçen ilgili hükmünün haksız şart niteliğine uyması ve somut vakanın kişinin makul beklentisi dışında aleyhine bir sonuç ortaya çıkarması nedeniyle “hukuka ve dürüstlük kurallarına uygun olma”; kiralama süreci sonrasında araç tesliminin gerçekleşmesi ve bütün bedellerin tahsil edilmesiyle birlikte sözleşmenin sona ermesi, veri işleme amacının ortadan kalkması ve mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri işlenmeye devam edilmesi nedeniyle “işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği, 

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
18.02.2020: “Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında”
Karar Tarihi : 18/02/2020
Karar No : 2020/145
Konu Özeti : Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması

Kuruma intikal eden şikâyette;  ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği, kişisel verilerin hukuka aykırı şekilde yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname gönderildiği ve bunun üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya açık alanda kasten yayımlayarak Kişisel Verilerin Korunması Kanununa (Kanun) aykırı davrandığı hususları belirtilerek T.C. kimlik numaraları, nüfus bilgileri, anne baba ismi ve adres bilgisi gibi kişisel verilerini hukuka aykırı şekilde internet gazetesi üzerinden yayımlayan böylece güvenliklerini tehlikeye düşürdüğü kadar ilgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişilerin yönetim kurulu üyesi oldukları şirketin anonim şirkete dönüşmek üzere genel kurula gittiği, haberi yapan ve aynı zamanda ilgili yayın grubunun da yöneticisi olan kişinin ilgili sektörü takip eden bir gazeteci olarak söz konusu genel kurul toplantısını izlemek istediği ancak toplantıyı izlemesine izin verilmediği, toplantıda iki farklı düşüncede grubun olduğu, 
  • Genel kurulun muhalif kanadının toplantı ile ilgili kendisine bilgi verdikleri, isimleri belli bir kesimin görüşlerini yayın grubunda yayınladığı, sonrasında olayın diğer tarafı, muhalif kesimin iddialarını cevaplamak için kendisine noter kanalıyla açıklama metinlerini gönderdikleri, bu açıklamaların cevap hakkı niteliğinde olması nedeniyle, zorunlu olmamasına rağmen etik gazetecilik anlayışı çerçevesinde açıklamaların önemli bölümlerinin yayın grubunun internet sitesinde kullanıldığı, 
  • Kendilerinin 10 satırlık haber yaptıkları, şirket yöneticilerinin ise 4-5 sayfalık açıklama metni gönderdiği, bunları baştan yazmanın çok zaman alacağından dolayı kendilerine “açıklamalarını mail yolu ile göndermeleri halinde tümünün yayımlanacağının” bildirildiği, noter kanalıyla gelmeye devam eden açıklamaların aynen eksiksiz olarak kullanılmasının istendiği, bu yüzden kendilerinin de metnin tamamını internet sitelerinde yayımladıkları, kaldırılması talebi üzerine hemen kaldırdıkları, bu açıklamanın kimlik bilgilerini içerdiği, bunu fark ettikleri anda hemen kaldırdıkları, 
  • Bu bilgilerin sitede kullanıldığına dair karşı tarafın bir kanıtının olmadığı, kendilerinde de bu ekran görüntüsünün bulunmadığı, kendilerinin kullanmadıklarını söylemeleri halinde karşı tarafın hiçbir kanıtının olmadığı; diğer yandan konunun yargıya gittiği, mahkeme huzuruna çıktığı ve beraat ettiği

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Bu minvalde, ilgili kişilerin şikayet konusu tekzip ihtarnamesinde yer alan ad, soyadı, T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri, adres bilgilerinin birer kişisel veri, veri sorumlusu medya şirketinin, kişilere ait bu verilerin internet gazetesinde yayımlanması işleminin de kişisel veri işleme faaliyeti olduğu,
  • Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği,
  • 5187 sayılı Basın Kanununun 14 üncü maddesinde ise “Süreli yayınlarda kişilerin şeref ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde, bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın, günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak zorundadır” düzenlemesine yer verildiği,
  • Sorumlu müdürün,  Basın Kanunundan kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde hareket etmesi beklendiği, diğer bir ifadeyle,  düzeltme metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanmasının, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,
  • Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

değerlendirmelerinden hareketle;

  • Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca 55.000 TL idari para cezası verilmesine karar verilmiştir.
18.02.2020: “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması”
Karar Tarihi : 18/02/2020
Karar No : 2020/138
Konu Özeti : Özlük dosyasında yer alan sağlık raporunun veri sorumlusu tarafından dava savunmasında kullanılmak üzere mahkemeye sunulması

 

Kuruma intikal eden şikâyette özetle, ilgili kişinin iş akdinin tek taraflı feshi nedeniyle veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu, sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir. 

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İşverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanununun 15 inci maddesine göre çalışanın sağlık muayenelerini yapmasını sağlamak zorunda olduğu, İş Sağlığı ve Güvenliği Yönetmeliğinin 7 nci maddesinde yer alan hüküm uyarınca işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının saklanacağı, bu sebeple çalışanın sağlık verilerinin anılan Kanun ve Yönetmelik hükümlerince işlendiği, 
  • Söz konusu raporların herhangi bir gerekçe ile talep edilmeksizin izin taleplerinin bir mazereti olarak bizzat ilgili kişinin kendisi tarafından ibraz edildiği, ilgili kişinin tüm uyarılara rağmen görev ve sorumluluklarının gereğini yerine getirmemesi ile birlikte işyerinde sergilediği olumsuz tutum ve beyanlar nedeniyle işyerinin çalışma düzenine ve iş huzurunun bozulmasına sebebiyet verdiği, bu nedenle 4857 sayılı İş Kanununun 25 inci maddesi uyarınca iş akdinin feshedildiği,
  • Mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin kendilerine gönderilmesinin istendiği, bu bağlamda mahkeme tarafından talep edilen özlük dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşıldığı, mahkeme emrinin yerine getirilmesini müteakip şikâyete konu raporların şirket savunması ve iş akdi feshi sebebine ilişkin maddi vakıaların ispatı amacıyla hukuka ve dürüstlük kurallarına uygun ve işlendiği amaç ile bağlantılı, sınırlı ve ölçülü olarak cevap dilekçesine de eklenerek mahkemeye sunulduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde: Kişisel Verileri Koruma Kurulunun 18/02/2020 tarih ve 2020/138 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendi uyarınca “ilgili kişi” tanımlaması, kişisel verisi işlenen gerçek kişiyi ifade ederken; (ı) bendi uyarınca “veri sorumlusu” tanımlamasının, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; (e) bendi uyarınca da “kişisel verilerin işlenmesi” tanımlamasının, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği,
  • Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi hükmü uyarınca kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde
    a) Hukuka ve dürüstlük kurallarına uygun olma.
        b) Doğru ve gerektiğinde güncel olma.
        c) Belirli, açık ve meşru amaçlar için işlenme.
        ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
    ” ilkelerine uyulmasının zorunlu olduğu,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca da kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak, 
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu, 
  • Kanunun 6 ncı maddesinin (1) numaralı fıkrasında ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı,
  • Diğer yandan 6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla birlikte, anılan Kanunun 220 nci maddesinin 3 üncü fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı,
  • Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü

değerlendirmelerinden hareketle 

  • 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
13.02.2020: “Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi”
Karar Tarihi : 13/02/2020
Karar No : 2020/124
Konu Özeti : Veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmeleri hakkında.

İlgili kişi tarafından Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu belirtilerek konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiş ve yazı ekinde ayrıca her iki çalışan ile gerçekleştirdiği kişisel telefonuna ait whatsapp konuşma görüntüleri, telefon çağrı geçmişi kayıtları ve PNR bilgileri sunulmuştur.

Kuruma intikal eden şikayet dilekçesi ekinde yer alan veri sorumlusunun ilgili kişiye verdiği cevapta özetle,

  • Kişisel verileri elde eden çalışanın görevi gereği yolcu bilgilerine erişim yetkisinin olduğu, bu çalışanın bilgiye erişim kayıtlarının incelenmesi neticesinde gerekli yaptırımların uygulandığı,
  • Şikâyete konu kişiler arası görüşmelerin içeriğinin tespit edilemediği,
  • Değerlendirmeler sonucunda, ilgili kişiye ait kişisel verilerin bazı ek kontroller uygulanmadan güvenlik amacıyla görüntülenmesini engelleyecek ek tedbirlerin uygulamaya alındığı, Kanunda belirtilen amaçlar ve yasal dayanaklara istinaden veri sorumlusu tarafından saklanan ilgili kişiye ait kişisel verilerin herhangi bir yetkisiz erişime konu olmadığı, kişisel verilerin gerekli teknik ve idari tedbirler uygulanarak muhafaza edildiği

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin ilk olarak çalışanlar hakkında veri sorumlusuna dolandırıcılık ve haksız menfaat iddiasıyla şikâyette bulunduğu,
  • Şikâyetin aynı gün iç denetim birimlerine iletildiği ve konu hakkında soruşturma başlatıldığı, ilgili kişi ve çalışanlarla yapılan görüşmeler ile veri sorumlusunun kayıtlarının incelenmesi sonucunda hiçbir aşamada dolandırıcılık, tehdit ve benzeri bir eylem tespit edilemediği,
  • Ardından ilgili kişinin göndermiş olduğu ihtarnamenin veri sorumlusuna ulaştığı, şikâyetçi olduğu kişilere ait özel hayatın gizliliğini ihlal eder nitelikteki bazı görsel kayıtların da bizzat ilgili kişi tarafından veri sorumlusuna iletildiği, gerçek kişiler arasındaki bu durumun birden fazla adli sürece konu olduğu ve devam ettiği, bununla birlikte, kişilerin karşılıklı olarak 6284 sayılı Ailenin Korunması ve Kadına Karşı Şiddetin Önlenmesine Dair Kanun kapsamında adli tedbir talep ettiği, bu durumda ilgili kişilerin birbirlerine ait kimlik ve iletişim bilgilerine şirketlerinin müdahalesi ve kayıtları dışında sahip oldukları ve veri sorumlusunun ilgili kişi ile çalışanlar arasındaki kişisel ilişkilerin tarafı olmadığı, bu nedenle, veri sorumlusunun yürüttüğü incelemenin PNR kayıtlarına erişim ve bunların kullanımı üzerine olduğu,
  • İlgili kişinin çalışanlar tarafından arandığının tevsiki için bildirdiği telefon numarasının veri sorumlusuna ait olmadığı ve telefon görüşmelerinin içeriğine yönelik şikâyetlerin soruşturma kapsamında değerlendirilmediği,
  • Yapılan incelemeler neticesinde veri sorumlusu çalışanının ilgili kişiye ait PNR kayıtlarına yönelik sistemde arama yaptığının tespit edildiği,
  • …. yöneticisi olan çalışanın uçuş operasyonlarına yönelik emniyet risklerini, güvenlik tehditlerini ve üst düzey yönetim adına güvenlik yönetim sistemi operasyonunun günlük işleyişini yönetmek ve izlemekten sorumlu olduğu, 
  • Erişim yetkisinin kişinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesi dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlamış olması nedeniyle hukuka aykırı bir erişimin söz konusu olmadığı,
  • Değerlendirmeler sonucunda ilgili kişiye ait kişisel verilerin saklanması ve erişim yetkilerinin tanımlanması konusunda hukuka aykırı bir durum olmadığı,
  • Yürütülen soruşturma kapsamında görev gereği erişim yetkisi bulunan kişisel verileri kişisel çıkarlar doğrultusunda görüntülemenin Kanunda yer alan ilkelere aykırı olduğu, bununla birlikte, Kanuna aykırı olarak görüntülenen kişisel verilerin yetkisiz üçüncü kişiler ile paylaşılmadığı,
  • Kişisel verilerin iş amacı dışında kullanılması sonucu oluşan bir zarar tespit edilmediği,
  • Kişisel verilerin veri sorumlusu tarafından işlenmesine devam edilmesi nedeniyle ilgili kişinin temel hak ve hürriyetlerine yönelik veya mevcut bir durum nedeniyle ilgili kişi haricindeki yolculara ait kişisel verilere yönelik herhangi bir ihlal tespit edilmediği,
  • Kanuna aykırı olarak kişisel verileri görüntüleyen çalışan hakkında yazılı uyarı verildiği ve yetkilerinin iptal edilerek görevleri kapsamındaki tüm sorgulama taleplerinin ayrı bir departman üzerinden gerçekleştirilmesinin sağlandığı,
  • Veri sorumlusu bünyesinde farkındalığın artırılması adına çalışanlara yönelik çevrim içi eğitim gerçekleştirildiği,
  • İç denetim birimleri tarafından yapılan kontroller sonucunda şikâyet bildiriminin yapılmasından sonra herhangi bir sorgulama gerçekleştirilmediği, bu nedenle, alınan tedbirlerin olumlu sonuç doğurduğu,
  • İlgili kişinin, 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı maddeleri kapsamında kişisel verilerin hukuka aykırı olarak ele geçirildiği iddiasıyla suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği,
  • Çalışanlara yönelik veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yürütüldüğü, bu kapsamda, soruşturması yapılan çalışanların eğitimlerini başarı ile tamamladığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/124 sayılı Kararında;

  • Kişisel Verilerin Korunması Kanununun 12 inci maddesinin veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlendiği, buna göre “(1) Veri sorumlusu; 
    a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 
    b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 
    c) Kişisel verilerin muhafazasını sağlamak, 
    amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 
    (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 
    (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
    ” hükmüne yer verildiği, 
  • Somut olayda,  veri sorumlusunun yürüttüğü soruşturma kapsamında kişisel verileri elde eden çalışanın ifadesine başvurulduğu, bu doğrultuda, şikâyete konu çalışanın, ilgili kişinin kişisel verilerinin paylaşıldığı diğer çalışanın uçuşlarına katılacağı düşünerek, sistem üzerinden arama gerçekleştirdiğini kabul ettiği, diğer taraftan, ilgili kişi ile arasında hâlihazırda dava durumu söz konusu olduğu, mahkeme sürecinin başladığı, bunun yanı sıra, ilgili kişiye hiçbir müdahalede bulunulmadığı, 
  • Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında, ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği,
  • Diğer taraftan, veri sorumlusu tarafından şikâyete konu olan kişiler arası görüşmelerin içeriğinin tespit edilemediği, telefon görüşmelerine ilişkin şikâyetlerin olaya konu olan kişiler arasındaki bireysel ilişkilerin geçmişinden kaynaklanma ihtimalinin yüksek olduğunun belirtildiği, 
  • Erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı,
  • Her ne kadar çalışanlar eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış olsalar da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu, 
  • Ayrıca, çalışanın görev tanımı gereği yetkisi çerçevesinde PNR sorgulaması gerçekleştirdiği ancak Kasım 2018 tarihinde bir adet, Aralık 2018 tarihinde on iki adet, Ocak 2019 tarihinde beş adet, Mart 2019 tarihinde on adet sorgulama yapıldığı, veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin yeterli olmadığı,
  • Çalışanın yetkisini kötüye kullandığını kabul ettiği, bu nedenle, hakkında yazılı uyarı verildiği ve yetkilerinin iptal edildiği, sorgulama işlemlerinin ayrı bir Genel Müdür Yardımcılığına bağlı farklı bir departmana verildiği ve bunun sonucunda sunulan log kayıtlarında PNR sorgulamasının yapılmadığının anlaşıldığı, öte yandan, kişisel verilerin hukuka aykırı olarak işlenmemesine yönelik özel koruyucu düzenlenmelere yer verildiği, ancak, soruşturma sonucu çalışanın yetkilerine ilişkin yaptırımların yeterli ve caydırıcı olmadığı, bu tür zafiyetlerin yaşanma riski göz önünde bulundurularak, alınması gereken tedbirlerin geliştirilmesi gerektiği,
  • Kanunun 17 nci maddesi (1) numaralı fıkrası uyarınca ise kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulandığı, veri sorumlusunun savunma yazısında, ilgili kişinin, çalışanlar ile birlikte veri sorumlusu hakkında 5237 sayılı Kanunun 135 ila 140 ıncı maddeleri kapsamında suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği, bu doğrultuda, 5237 sayılı Kanun kapsamında yürütülmekte olan bir soruşturmanın bulunması sebebiyle, 5237 sayılı Kanununun ilgili hükümleri çerçevesinde işlem tesis edilmesini teminen 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı 

değerlendirilmiş olup bu doğrultuda, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

17.09.2020: “İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi”
Karar Tarihi : 17/09/2020
Karar No : 2020/710
Konu Özeti : İcra dosyasının tarafı olan ilgili kişilerin icra takibi ile ilgisi bulunmayan akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi

 

Kuruma intikal eden şikâyet başvurusunda, ilgili kişiler hakkında yürütülen icra takibi esnasında söz konusu icra takibi ile ilgisi bulunmayan, borçlu durumunda olmayan akrabalarının kişisel bilgilerinin araştırılması, adres ve kimlik bilgilerinin İcra Müdürlüğünün görevi kapsamında bulunmadığı halde tespit edilmesi ve bu çerçevede kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ifade edilerek İcra Müdürlükleri hakkında gereğinin yapılması talep edilmiştir.

Bahse konu şikâyet dilekçesi ve eklerinin incelenmesinden ilgili kişiler tarafından veri sorumlusuna kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılması hakkında bilgi talebi ile başvuruda bulunulduğu, veri sorumlusunun cevabi yazısında ise, “Alacaklı vekili tarafından bildirilen üçüncü şahıslara İcra ve İflas Kanunu (İİK)  89/1 Haciz ihbarnamesi gönderilmiş olup, haciz ihbarnamesi alacaklı ve borçlu dışında bulunan bütün üçüncü şahısları kapsamakta olduğundan Müdürlüğümüzce yapılan işlemde hukuka aykırılık bulunmamaktadır…” ifadelerine yer verildiği görülmüştür.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Kararı ile,

  • Kanunun  “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • İcra ve İflas Hukuku gereğince iflası talep edilen borçluya ilişkin hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, haczin, kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabileceği, borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun (İİK) 89 uncu maddesinde düzenlendiği,
  • Anılan maddede; “Hamiline ait olmayan veya cirosu kabil bir senetle müstenit bulunmayan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödeyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4 üncü fıkra hükümleri de üçüncü şahsa bildirilir. Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. Üçüncü şahıs, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde itiraz etmezse, mal yedinde veya borç zimmetinde sayılır ve kendisine gönderilen haciz ihbarnamesine süresinde itiraz etmediği, bu nedenle de malın yedinde veya borcun zimmetinde sayıldığı ikinci bir ihbarname ile bildirilir. Bu ikinci ihbarnamede ayrıca, üçüncü şahsın ihbarnamenin kendisine tebliğinden itibaren yedi gün içinde ikinci fıkrada belirtilen sebeplerle itirazda bulunması, itirazda bulunmadığı takdirde zimmetinde sayılan borcu icra dairesine ödemesi veya yedinde sayılan malı icra dairesine teslim etmesi istenir. İkinci ihbarnameye süresi içinde itiraz etmeyen ve zimmetinde sayılan borcu icra dairesine ödemeyen veya yedinde sayılan malı icra dairesine teslim etmeyen üçüncü şahsa on beş gün içinde parayı icra dairesine ödemesi veya yedinde sayılan malı teslim etmesi yahut bu süre içinde menfi tespit davası açması, aksi takdirde zimmetinde sayılan borcu ödemeye veya yedinde sayılan malı teslime zorlanacağı bildirilir. Bu bildirimi alan üçüncü şahıs, icra takibinin yapıldığı veya yerleşim yerinin bulunduğu yer mahkemesinde süresi içinde menfi tespit davası açtığına dair belgeyi bildirimin yapıldığı tarihten itibaren yirmi gün içinde ilgili icra dairesine teslim ettiği takdirde, hakkında yürütülen cebri icra işlemleri menfi tespit davası sonunda verilen kararın kesinleşmesine kadar durur. Bu süre içinde 106 ncı maddede belirtilen süreler işlemez. Bu davada üçüncü şahıs, takip borçlusuna borçlu olmadığını veya malın takip borçlusuna ait olmadığını ispat etmeye mecburdur. Üçüncü şahıs açtığı bu davayı kaybederse, mahkemece, dava konusu şeyin yüzde yirmisinden aşağı olmamak üzere bir tazminata mahkûm edilir. Bu fıkraya göre açılacak menfi tespit davaları maktu harca tabidir…” hükmüne yer verildiği,
  • Borçlunun üçüncü kişilerdeki mal ve alacakları için İcra Müdürlüğünce el koyma imkânı bulunduğundan, üçüncü kişilerin bünyesinde bulunan mal ve alacakların haczinde, haczin etkisiz bırakılmasının önlenmesi amacıyla İİK’nın 89 uncu maddesinde yer alan kuralların düzenlendiği, bu hususta ilgili maddenin İcra Müdürlüğü tarafından uygulanabilecek usulü ve alacaklı ile üçüncü kişinin başvurabileceği imkânları düzenlediği, İİK’nın 89 uncu maddesinin borçlunun üçüncü kişilerdeki mal ve alacaklarının nasıl haczedileceğinden ziyade, yapılan haczin korunmasına yönelik muhafaza tedbirlerini düzenlediği, borçlunun üçüncü kişilerdeki alacağı kavramına; maaş veya ücreti, borçlunun bir bankadaki mevduatı, üçüncü kişiye ödünç vermiş olduğu para, satmış olduğu malın satış bedeli, kiraladığı taşınmazın kira bedeli, borçlunun bir şirketteki kâr veya tasfiye payı, taraf bulunduğu cari hesap sözleşmesinde diğer taraftan alacaklı olduğu hesap bakiyesinin örnek olarak gösterilebildiği,
  • Benzer nitelikte bir olayda, Yargıtay 12. Hukuk Dairesinin 15.04.2013 tarihli ve E:2013/5621 K:2013/14186 sayılı kararında, " ... Buna göre kural olarak icra müdürünün haciz talebini yerine getirme konusunda herhangi bir takdir yetkisi bulunmadığının kabulü gerekir. ... Görüldüğü gibi burada tanınan takdir yetkisi, İİK’nın 82. maddesi kapsamında malın haczi kabil olup olmadığı ile sınırlı olup, icra müdürünün bunun dışında, örneğin malın 3. kişiye ait olduğu ya da somut olayda olduğu gibi haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran 3. kişi sayılamayacakları gerekçesi ile haciz talebinin veya haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda herhangi bir takdir yetkisinin bulunmadığı tartışmasızdır. Haczi talep edilen malın üçüncü kişiye ait olduğunun iddia edilmesi halinde istihkak prosedürünün uygulanacağı ya da kendisine haciz ihbarı gönderilen kişinin 3. kişi olmadığı yönündeki iddiasını İİK’nın 16. maddesi uyarınca şikayet yoluyla icra mahkemesinde ileri sürebileceği tabidir. ..." şeklinde açıklamalara yer verilerek, haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran üçüncü kişi sayılamayacakları gerekçesi ile haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda İcra Müdürünün herhangi bir takdir yetkisinin bulunmadığı hususunun vurgulandığı

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
03.09.2020: “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet”
Karar Tarihi : 03/09/2020
Karar No : 2020/667
Konu Özeti : Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği,
  • Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği

değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

30.06.2020: “Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları”
Karar Tarihi : 30/06/2020
Karar No : 2020/508
Konu Özeti : Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları

 

Kuruma intikal eden ihbarlarda, ihbar başvurusu sahiplerinin muhtelif avukat sorgulama sitelerinde taraflarına ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği, bahsi geçen internet sitelerince gerek taraflarına gerek çok sayıda avukata ait kişisel verilerin hukuka aykırı olarak elde edildiği ve bu suretle paylaşıldığı, söz konusu internet sitelerinde ve bu siteler ile ilişkili bulunan kurum/kuruluş ya da alan adında yer alan tüm profillerin kaldırılması gerektiği yönünde ihbarda bulunularak gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan değerlendirmede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Kararı ile,

  • 1136 sayılı Avukatlık Kanununun “Baroya yazılma istemi” başlıklı 6 ncı maddesinin, “4 üncü maddedeki koşulları taşıyanlar başvurdukları yer barosu levhasına yazılmalarını dilekçe ile isteyebilirler.” hükmünü, “Avukatlık yetkilerinin başkaları tarafından kullanılmaması” başlıklı 63 üncü maddesinin “… Baro levhasında yazılı bulunmayanlar avukatlık unvanını da taşıyamazlar…” hükmünü haiz olduğu, Avukatlık Kanununun “Levhaya yazılma yükümlülüğü” başlıklı 66 ncı maddesi uyarınca, her avukatın bölgesi içinde sürekli olarak avukatlık edeceği yerin baro levhasına yazılmakla yükümlü olduğu, dolayısıyla avukatlık görevini ifa edecek kişiler için baro levhasına yazılmanın kanuni bir yükümlülük olduğu, bu yükümlülüğü yerine getirmeden avukatlık görevini icra etmenin mümkün olmadığı,
  • Avukatlık Kanununun “Avukatlar listesi” başlıklı 75 inci maddesinde, “Baro yönetim kurulu üç yılda bir bölgesi içinde bulunan ve baro levhasında yazılı olan bütün avukatların bir listesini son yılın 31 Aralık tarihine kadar düzenler. Listeye her avukatın alfabe sırasıyla adı, soyadı, büro ve konut adresi yazılır. Birlikte çalışan avukatların büroları ve avukatlık ortaklıkları listede ayrıca belirtilir. Levhadaki değişiklikler her yıl sonunda düzenlenecek ek listede gösterilir. Bu listenin düzenlenme şekli Türkiye Barolar Birliğince tespit edilir. Listenin düzenlenmesinden sonra baro levhasına yazılanlara yeni listenin düzenlenmesine kadar kullanılacak geçici bir belge verilir. Listeden Anayasa Mahkemesine, Yüksek Mahkemelere, Adalet Bakanlığına, Türkiye Barolar Birliğine, diğer barolara, baronun bölgesi içinde bulunan mahkemelerle Cumhuriyet Savcılıklarına, en büyük idare amirine, diğer yargı mercilerine, noterlere ve icra ve iflas dairelerine yeteri kadar gönderilir.” düzenlemesinin yer aldığı, bu kapsamda, baro levhasının, her baronun bünyesinde bulunan avukatlar listesinin TBB ya da baroların internet sayfalarında yayımlanan tezahürü olduğu kanaatine varıldığı,
  • Buna ek olarak TBB ve il barolarının internet sayfalarında yayımlanan avukat bilgilerinin genel olarak; fotoğraf (biyometrik veya normal), baro sicil numarası, birlik sicil numarası, ad, soyadı, adres, iş telefonu, fax numarası, cep telefonu, web adresi, e-posta adresi olduğu, bununla birlikte, yayımlanan bilgilerin barodan baroya farklılık gösterdiği ve bu yönde tek tip bir uygulama olmadığı, hangi bilgilerin yayımlanacağına ilişkin yukarıda ifade edilen hükümler dışında doğrudan bir yasal düzenleme bulunmadığının anlaşıldığı,
  • Baroya yazılma istemiyle birlikte baroya iletilen bilgilerin baro levhasında doğrudan yayımlandığı fakat daha sonradan avukatların söz konusu baroya başvurarak bu bilgileri güncelleme ya da sildirme imkânı olduğunun anlaşıldığı, 
  • TBB Başkanlığının 08.04.2016 tarihli 2016/24 numaralı duyurusunda, avukatlıkla birleşmeyen bir işte çalıştığını ve bu nedenle avukatlık yapmayacağını belirten talep sahiplerinin sadece adına avukatlık ruhsatnamesi düzenlenmesini talep edebileceği ve baro levhasına yazılma talebinin olmadığını belirten bir dilekçe alınması gerektiğinin görüldüğü, 
  • Söz konusu sitelerden birçoğunda ‘Bu siteye ulaşılamıyor’ ibaresinin yer aldığının görüldüğü, erişilebilen siteler incelendiğinde; internet sitelerinin ana sayfasında il barolarına ait butonlar olduğu, söz konusu butonlara basıldığında o ilde kayıtlı avukatlar listesine ilçelere göre ayrılmış şekilde ulaşılabildiği, ilçe ismine tıklandığında ise adresi o ilçede görünen avukat isimlerinin listesinin çıktığı, herhangi bir avukat ismine tıklandığında söz konusu profilin altında “Bu sayfada bulunan bilgiler … levhasından alınmıştır” şeklinde o avukat hangi il barosuna kayıtlı ise o baro levhasının belirtildiği, internet sitelerinin ana sayfasında “Hakkımızda, Gizlilik, Hukuki Uyarı, Avukat Sorgula, İcra Iban Numaraları, Avukat Ekle, İletişim” sekmelerinin yer aldığı, kullanıcıların bahsi geçen internet sitelerine giriş yaptıktan sonra arama butonuna herhangi bir isim yazmasıyla otomatik olarak https://cse.google.com.tr/cse/ uzantılı Google özel arama motoru (Google Custom Search) linkinin açıldığı ve ismin bu link üzerinde aratıldığı, internet sitelerinin “Gizlilik” bölümündeki “Kişisel Verilerin Korunması” başlığı altında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca, veri sorumlusu sıfatıyla, mevzuatın izin verdiği durumlarda yurt içinde ve dışında üçüncü kişilere aktarılabileceği, “Kişisel Verilerin İşlenme Amaçları” başlığı altında sitenin, avukatların iletişim bilgilerinin müvekkiller veya avukat arayışında olan kişiler tarafından daha kolay bulunabilmesini amaçladığı, bu doğrultuda avukat bilgilerinin güncel tutulmaya çalışıldığı, yanlış ya da hatalı bilgiler için “Avukat Düzelt” ya da “Sorun Bildir” butonuyla kişilere düzeltme ve sorun bildirme imkanı tanındığı ve “Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri” başlığı altında, avukatların kişisel verilerinin baroların internet sitelerinden, sosyal medya veya diğer kamuya açık mecralardan ve kendi istekleri ile ekleme yaptıkları ‘Avukat ekle’ sayfasından elde edildiği, kişisel verilerin Kanunun ilgili maddelerinde (4,5,6) belirtilen şartlar çerçevesinde bu bildirimin Kişisel Verilerin İşlenme Amaçları bölümünde sayılan amaçlar için toplandığı, işlendiği, aktarıldığı ve saklandığının belirtildiği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlanmış olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (b) bendinde yer alan ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi durumunda uygulanmayacağının belirtildiği,
  • Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinin ‘Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması’ başlığı altında; “İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.” ifadelerinin yer aldığı

değerlendirmelerinden hareketle;

  • Bahsi geçen internet sitelerinden; birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnızca ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin, ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı ve bahsi geçen sitelerin ilgili kişinin e-posta adresini TBB resmi internet sitesinden çekmiş olabileceği hususunda ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin işlenebileceği kanaatine varıldığı ve işlenen kişisel verinin Kanunun 4 üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına,
  • Bahsi geçen internet sitelerinde; il baroları levhalarında ve TBB internet sitelerinde yayımlanan bilgilerden farklı bir bilgi yayımlanmadığı, yayımlanan bilgilerin il baroları levhalarında ve TBB internet sitesinde yayımlanma amacından farklı bir amaçla yayımlandığına ilişkin bir tespit yapılamadığı, söz konusu kişisel verileri düzeltme veya silme imkânlarının ilgili kişilere tanındığı göz önünde bulundurulmakla mevcut ihbar başvuruları hakkında Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenme şartlarına aykırı bir durumun gerçekleşmediği kanaatine varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

30.10.2019: “Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar”
Karar Tarihi : 30/10/2019
Karar No : 2019/316
Konu Özeti : Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar

 

Bir hastanede çalışan doktordan alınan ihbar dilekçesinde özetle; hastanede çalıştığı dönemde idarenin önerisi ile kronik hastalıklar ile ilgili yan dal polikliniklerini kurarak hasta verilerini, poliklinik bilgisayarı ve hastane veri sistemine klinik olarak, uzmanlar ve yan asistanları ile kaydetmeye başladıkları, ayrıca hastane idaresinin bilgisinde, etik kurul onayları alınmış ve bazılarında bilimsel araştırma projelendirmelerinde projelendirilmiş olarak, hastalara ait kan, serum ve doku örneklerini de -80 derecede derin soğutucuda toplamaya başladıkları, geçici görevinin bitmesi sonucu hastaneden ayrıldıktan sonra ilgili Hastane başhekimlerine veriler hakkında bilgi verildiği, ancak bilgilendirmelere rağmen ülkemizdeki tek doku ve kan bilimsel materyallerinin olduğu -80 derece dondurucuların gözden uzak klimasız bir odaya aktarıldığı, sonrasında da erimiştir denilerek ve kıymetli doku materyallerinin bilimsel hayata tekrar kazandırılıp kazandırılmayacağının araştırılmadan tutanak altında çöpe atıldığı dolayısıyla bilimsel verilerin korunmasında ihmalkar davranıldığı ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinde belirtilen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İhbarda bulunan doktorun görev yaptığı dönemde de bundan sonraki süreçte de hasta kayıtlarının devamlılık esasına dayanılarak Gastroenteroloji Polikliniğinde tutulmaya devam edildiği ve hastaların takip ve tedavilerinin halen devam ettiği, bu hastaların Gastroenteroloji Kliniğine başvuruda bulunan, teşhis ve tedavileri yapılmış ve halen tedavi takipleri yapılan hastalar olduğu, kayıtlarının Sağlık Bakanlığının talimatları doğrultusunda elektronik olarak tutulduğu, hasta mahremiyeti esası ile hasta bilgilerinin, takip eden doktorlar ve ailesi dışında kimse ile paylaşılmadığı,
  • Buzdolaplarının 08.03.2018 tarihinde arıza verene kadar herhangi bir şekilde kullanılmadığı, arıza tutanaklarının tutulduğu, arıza esnasında Başhekimliğin bilgilendirildiği, buzdolaplarındaki materyallerin eridiğinin görüldüğü ve ilgili branşlara bu örneklerin kullanılıp kullanılamayacağının sorulduğu, bu işlemlerin de tutanak altına alındığı, bu esnada buzdolaplarının nasıl alındığının bilinmediği, Başhekimliğin bilgisinin olmadığı ve demirbaş kaydının alınmadığının görüldüğü, Başhekimliğin durumdan haberdar edilip onamları alınarak buzdolabı içindekilerin imha edildiği, Başhekimlik talimatı ile buzdolaplarının biyokimya laboratuvarına teslim edildiği,
  • Örneklerin Hastane yöneticiliğinin bilgisi ve talimatı doğrultusunda imha edildiği,  hasta bilgilerinin ve tarafına teslim edilen bilimsel çalışmalarda kullanılmak üzere hastalar tarafından bilgilendirilmiş onam formlarının olmaması ve örneklerin bozulmuş olması nedeniyle kimlik bilgileri ile eşleştirme yapılmasının da bilimsel bir anlamının olmadığı,
  • Örneklerin arıza nedeniyle erimiş olması nedeniyle bunlarla ilgili analiz yapılmadığı, yapılsa dahi bilimsel etik kuralları gereği hasta onamları olmaması nedeniyle hükümsüz olacağı, bu örneklerin başka araştırmalarda kullanılmadığı, örneklerin hastaların tedavisini etkilemek veya değiştirmek amacıyla değil olası bilimsel çalışmalar için toplandığının tahmin edildiği, toplanan örneklerin etik kurul onayları ve belgelendirilmiş onamları ile ilgili herhangi bir devir teslim yapılmadığı 

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Kararı ile,

  • “Bilimsel veri, kan ve doku bankası” olarak adlandırılan ve dilekçe ekinde yer alan doküman ve resimlerden hastalara ilişkin örnekler üzerinde çeşitli barkodların olduğunun görülmesi ile doku ve kan bankasındaki listede bu örneklerin, isim ve ependorf (tüp) sayılarına göre dolaplara yerleştirildiğinin anlaşılması nedeniyle anılan örneklerin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirildiği, 
  • Bununla birlikte, Kanunun “İstisnalar” başlıklı 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, bu Kanun hükümlerinin uygulanmayacağı

değerlendirmelerinden hareketle;

  • Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği Kanunun 28 inci maddesi kapsamında bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.
     
06.02.2020: “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler”
Karar Tarihi : 06/02/2020
Karar No : 2020/93
Konu Özeti : Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler

 

İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan alınan yazıda;

  • Anayasanın 20 nci maddesinde kişisel verilerin korunmasını isteme hakkının kişisel verilerin silinmesini talep etme hakkını da kapsadığı ifade edilse de kişisel verilerin korunmasına ilişkin usul ve esaslarının kanunla düzenleneceğinin öngörüldüğü ve buna ilişkin usul ve esasların 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile belirlendiği,
  • Kanunun 7 nci maddesi hükmünden de anlaşılacağı üzere Anayasanın 20 nci maddesinde yer alan kişisel verilerin silinmesini talep etme hakkının mutlak hak olmayıp bu hakkın ileri sürülmesinin belirli şartların varlığına bağlandığı, Kanun ve ikincil düzenlemelerle belirlenen bu şartların dayanağının yine Anayasanın 20 nci maddesinin son fıkrasında bulunan “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü olduğu,
  • Buna ilaveten, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinde 
    “ 1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.” hükmünün bulunduğu, dolayısıyla kişisel veri işleme şartlarının tamamının ortadan kalkmadığı gerekçesiyle ilgili kişilerin kişisel verilerinin silinmesi taleplerinin veri sorumlusu tarafından reddedilebileceği, bu Yönetmelik ile de bunun hüküm altına alındığı,
  • Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin düzenlendiği,
  • Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği
  • Kanunun tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,
  • Ayrıca Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü kapsamında, sağlığa ilişkin verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık rızaları olmaksızın Bakanlıklarınca işlenebileceği, bu durumda verilerin işlenme sebeplerinin açık rıza değil, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan amaçlar olduğu,
  • Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların, Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların silinmesinin uygun olmayacağının değerlendirildiği,
  • Diğer taraftan, Bakan Yardımcılığının 17.05.2019 tarihli Makam Oluru kapsamında sehven konulan tanıların silinmesi için tanı girişi yapan hekimin tanının hatalı kaydedildiğini bildiren yazısı, tanı girişinin yapıldığı sağlık tesisinin başhekim onaylı resmi yazısı veya hatalı kaydedildiği belirtilen tanının silinmesine ilişkin ilgili il sağlık müdürlüğünün ya da ilgili Genel Müdürlük yazısının Genel Müdürlüklerine iletilmesi gerektiği; 
  • Sehven kaydedildiği kanıtlanmamış tanılar için ise ilgili il sağlık müdürlüğüne başvurulması ve bünyesinde kurulan bir komisyon ya da ilgili il sağlık müdürlüğü tarafından görevlendirilen hekim vasıtası ile hatalı kaydedildiği iddia edilen tanının araştırılması, araştırma sonucunda tanının hatalı kaydedildiği sonucuna ulaşılması halinde düzenlenecek raporda “ilgili tanının kişide bulunup bulunmadığının” net şekilde ifade edilmesi ya da bu hususta bir eğitim araştırma hastanesinden alınacak heyet raporu ile birlikte sağlık tesisinin bağlı bulunduğu il sağlık müdürlüğüne başvuru yapılması gerektiği; bu sürecin takip edilmesi sonucunda sehven konulan tanılarla belirli bir muayene neticesinde konulmasına karşın kişi üzerindeki etkisi devam etmeyen tanıların silinmesinin mümkün bulunduğu 

belirtilmiştir.

Bahse konu şikayet başvurularının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06/02/2020 tarih ve 2020/93 sayılı Kararı ile;

  • 6698 sayılı Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup, Kanunun 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a)Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b)Belirli, açık ve meşru amaçlar kapsamında, 
    c)Doğru ve gerektiğinde güncel olma şartıyla, 
    ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
    d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
     ilkelerine uygun işlenebileceği,
  • Kanunun 6 ncı maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmiş olup, anılan maddenin;
    (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
    ” şeklinde hüküm altına alındığı,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesinin (1) numaralı fıkrasında Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği; 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun düzenlendiği, 
  • Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasında ise ilgili kişinin, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel verileri sileceği, yok edeceği veya anonim hale getireceği, ayrıca veri sorumlusunun, ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracağı ve ilgili kişiye bilgi vereceğinin belirlendiği,
  • Kanunun 11 inci maddesinde ise ilgili kişilerin hakları sıralanmış olup, maddede  “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir” hükmüne yer verildiği,
  • 21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k) bendinde kişisel verilerin imha edilmesinin;  kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde tanımlandığı,
  • Anılan Yönetmeliğin “Kişisel Sağlık Verilerinin Düzeltilmesi” başlıklı 13 üncü maddesinin;
    (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
    (2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
    (3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.” ve kişisel sağlık verilerinin imha edilmesi başlıklı 14 üncü maddesinin “(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.
    ” hükmünü amir olduğu

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına,
  • İlgili kişilerin kişisel sağlık verilerinin silinmesine ilişkin talepleri hususunda kişisel sağlık verilerinin işlenme şartlarından “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bu verilerin Bakanlık tarafından Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında işlendiği ve söz konusu işleme şartlarının ortadan kalkmaması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

30.01.2020: “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”
Karar Tarihi : 30/01/2020
Karar No : 2020/71
Konu Özeti : Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği

 

  1. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade etmektedir. Bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu,  veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir. 

29’uncu Madde Çalışma Grubu’nun   veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir. Benzer şekilde, Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” yayımlanmıştır. Bu kılavuz, 29’uncu Madde Çalışma Grubu tavsiye kararı ile de örtüşmektedir. İlgili düzenlemelerde de Kanunla benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir. Sayılan ulusal ve Avrupa Birliğinde mevcut tüm düzenlemelerin değerlendirilmesi ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.

  • Kişisel verilerin toplanması ve toplama yöntemi,
  • Toplanacak kişisel veri türleri,
  • Hangi bireylerin kişisel verilerinin toplanacağı,
  • Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
  • İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
  • Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, 
  • Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
  • İlgili kişilerle doğrudan muhatap olma,
  • Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
  • İşleme faaliyetinden menfaat sağlama.
  1. Veri işleyen ise,  Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır. Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir. 

Belirtmekte fayda görülmektedir ki, veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan öğelerini de tanımlayabilir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;

  • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, 
  • Kişisel verilerin hangi yöntemle saklanacağı, 
  • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, 
  • Kişisel verilerin aktarımının hangi yöntemle yapılacağı, 
  • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, 
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri 

hususlarında karar verme yetkisini veri işleyene bırakabilir. Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. Diğer taraftan, veri işleyenin tespiti için genel itibariyle; 

  • Kişisel veri işlemek için başkasından talimat alınması,
  • Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
  • Kişisel verilerin kullanım amaçlarının belirlenmemesi,
  • Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
  • Veri saklama sürecine karar verme yetkisine sahip olmamak,
  • Veri işlemenin sonuçlarından sorumlu olmaması, 
  • Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı

hususları değerlendirilmek suretiyle yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir. 

  1. Öte yandan, Kanunun muhtelif hükümlerinde veri sorumlusuna birtakım yükümlülükler getirilmiştir. Bu yükümlülükler başlıca “aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kişisel Verileri Koruma Kurulunun (Kurul) kararlarının yerine getirilmesi yükümlülüğü, veri sorumluları siciline kaydolma yükümlülüğü” olarak sayılabilir. Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi talep etme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10 uncu maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları.

Veri Sorumluları Siciline kayıt yükümlülüğünün bulunması durumunda aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir. Ayrıca belirtmek gerekir ki, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğü “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” (Aydınlatma Tebliği) hükümlerine uygun olarak yerine getirilmelidir. Her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri işleyene verdiği talimatlar doğrultusunda veri işleyen tarafından da aydınlatma yükümlülüğünün yerine getirilebileceği değerlendirilmektedir. Nitekim, Kanunun 10 uncu maddesinde “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi aracılığıyla” denilmek suretiyle veri sorumlusuna aydınlatma yükümlülüğü konusunda iki seçenek tanınmıştır. Diğer bir deyişle, aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır.

Sonuç olarak; Kanunun 10 uncu maddesinde düzenlenen “aydınlatma yükümlülüğü” bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından yerine getirilebilir. Veri sorumlusu tarafından yetkilendirilen kişi de veri işleyen olabilir. 

27.01.2020: “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi”
Karar Tarihi : 27/01/2020
Karar No : 2020/66
Konu Özeti : İlgili kişinin irtibat numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi

 

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda; incelemeye konu talep değerlendirilmiş olup ilgili kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu durumu tevsik edici herhangi bir doküman gönderilmemiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/66 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefonu numarasının kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından, şikâyette bulunanın ilgili kişi sıfatını ve şikâyet edilen elektrik dağıtım şirketinin veri sorumlusu sıfatını haiz olduğu,
  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde, “herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
    a)Kişisel veri işlenip işlenmediğini öğrenme,
    b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
    ” hükmüne yer verildiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruda talebi, her ne kadar cep telefonu numarasının kendisine ait olmayan aboneliklere yönelik veri işleme faaliyetlerine ilişkin olarak silinmesi olarak belirtilse de, yukarıda aktarılan Kanunun 11 inci maddesi bağlamında bu talebin “kişisel verilerin eksik ya da yanlış işlenmiş olması halinde düzeltilmesini isteme” hakkıyla örtüştüğü, zira Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir” şeklinde tanımlandığı bu bakımdan, ilgili kişinin veri sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmaya devam eden bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun, kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından talebin Kanun kapsamındaki silme işlemi değil “...düzeltilmesini isteme” olarak değerlendirilmesi kanaatine varıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” (2) numaralı fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” (5) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” düzenlemelerine yer verildiği,
  • Veri sorumlusunun ilgili kişinin Tebliğ hükümlerine göre yaptığı başvuruya kendisine tanınan 30 günlük süre içerisinde cevap vermediğinden Tebliğin 6 ncı maddesinin (2) ve (5) numaralı fıkralarına aykırılık ortaya çıktığı, ilgili kişinin başvurusuna neden cevap verilmediğinin veri sorumlusuna gönderilen bilgi, belge yazısında sorulduğu, ancak veri sorumlusunun bu hususta herhangi bir cevap vermediği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, kişisel verilerin
    a)Kanunlarda açıkça öngörülmesi,
    b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    d)İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
     şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin irtibat numarasının kendisine ait olmayan aboneliklerde kullanıldığına dair veri sorumlusu tarafından Kuruma herhangi bir açıklama yapılmadığı, ayrıca Kuruma intikal eden cevabi yazısında belirttiği hususa dair destekleyici bir doküman sunulmadığı, bu sebeple ilgili kişinin irtibat numarasının işlenmesine ilişkin Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarının bulunup bulunmadığının tespitine imkân tanınmadığı, ancak mezkûr cevabi yazıda ilgili kişi adına sistemde kayıtlı olan telefon numarasında güncelleme yapıldığı açıklamasından hareketle, veri sorumlusu tarafından ilgili kişinin irtibat numarasının kişisel veri işleme faaliyetine dâhil edildiği,
  • Kanunda belirtilen veri işleme ilkelerinden “Doğru ve Gerektiğinde Güncel Olma İlkesi” uyarınca, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği, bu ilkenin aslında kişisel verilerin düzeltilmesini isteme hakkıyla ilişkili olduğu, bu bakımdan, ilgili kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş yapılmamasının bu ilkeye aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını kullanamamasına yol açtığının bir göstergesi olduğu

değerlendirmelerinden hareketle 

  • Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir”   hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
  • Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına 

karar verilmiştir.

01.12.2020: “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması”
Karar Tarihi : 01/12/2020
Karar No : 2020/915
Konu Özeti : Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması

 

Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda 

  • Tüm birimlerde tutulan kişisel veriler üzerinde Kanun kapsamında çalışmalara 2018 yılında başlandığı, irtibat kişilerinin belirlenerek personelin bu konu hakkında eğitim, e-posta ve duyuru panolarına asılan aydınlatma metinleriyle bilgilendirildiği ve kişisel verilerin korunması ve işlenmesine dair politika ve prosedürlerin hazırlandığı, ayrıca yapılan işlemlerin tamamlanması ve devamında işletilmesi, 6698 sayılı Kanuna ve standartlara uygun yapıldığının ölçülebilmesi hususunda Bağımsız Denetim Firması tarafından denetlenerek BS10012-2009 Veri Koruma ve Kişisel Bilgi Yönetim Standardı Sertifikası ile belgelendirildikleri,
  • Başkanlığa ait Kültür Merkezleri, Bilgi Evleri, Spor Salonları vb faaliyet gösteren çok sayıda tesisin bulunduğu, iştirak personeli dahil olmak üzere 2302 kişinin istihdamının sağlandığı, kişisel verilerin korunmasına yönelik yapılacak başvuru ve taleplerin usulüne ilişkin …… Belediyesi Kişisel Verilerin İşlenmesi Duyuru Aydınlatma Metninin, Başkanlığın resmi web sitesi üzerinden ilan edildiği, ….. Belediyesi Kişisel Verilerin Korunması Başvuru Formunun doldurularak hangi yöntemlerle başvuru yapılacağının duyurulduğu, Başkanlık personeline ise hizmet içi eğitimlerle konuya ilişkin bilgilendirmenin yapıldığı,
  • İlgili kişiye ait başvuruda Kişisel Verilerin Korunması Başvuru Formunun bulunmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak verilen cevap yazısında kamu kaynaklarını etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı herhangi bir şaibeye mahal vermeden verinin temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin ise kullanılmadığı,
  • Başkanlıkça uygulanmakta olan PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, mesai kontrolü için ayrıca sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün listelerin ıslak imzalanması metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğu, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı, kullanılan şifrelenmiş parmak izi şablonunun özel bir algoritma olduğu ve üçüncü kişilere tamamen kapalı olduğu, parmak izi şablonunun formatının teknik belgeler veya ürün kaynak kodları vasıtasıyla dahi herhangi biri tarafından öğrenilmesi veya başkalarının bilgisine açılmasının mümkün olmadığı

ifade edilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Kararı ile,

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,
  • GDPR’nin Recital bölümünün 51 inci maddesinde de fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceğine yönelik açıklamalara yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği, yine Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği dikkate alındığında, işe giriş çıkışlarda personelin parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde yer alan ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiğine işaret ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, 
  • Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği, 
  • Öte yandan, Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı Kararında “personelden kişisel veri alınması kapsamında olan "parmak izi tarama sistemi" ile mesai takibi uygulamasının, kamusal alanda da olsa "özel hayatın gizliliği" ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık, davanın reddi yolunda verilen İdare Mahkemesi kararında hukuki isabet bulunmadığı anlaşılmıştır.” şeklinde hüküm tesis edilmiş olup bu kapsamda, mesai kontrolü için parmak izi alınması gibi çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntem yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesi kapsamında ele alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların mezkur maddenin (ç) bendindeki ölçülülük ilkesine aykırı olduğu, 
  • Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
  • Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği, 
  • Öte yandan, ilgili kişinin Kanunun 7 nci ve 11 inci maddesi çerçevesinde veri sorumlusuna başvurmasına rağmen veri sorumlusu tarafından, söz konusu başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak da verilen cevabi yazıyla kamu kaynaklarının etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı, herhangi bir şaibeye mahal vermeden temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin kullanılmadığı şeklinde savunma yapıldığı görülmekle birlikte, ilgili kişinin Kanuna atıf yapıp taleplerini açıkça belirten ve tarafına talepleriyle ilgili bilgi verilmesine yönelik isteğini de içeren ıslak imzalı dilekçesini veri sorumlusuna sunduğu, bu anlamda ilgili kişinin kişisel verilerinin silinmesi yönünde talepte bulunduğu, öte yandan söz konusu evraka sayı numarası verildiğinin açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile bağdaşmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına, 
  • Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

08.12.2020: “Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi”
Karar Tarihi : 08/12/2020
Karar No : 2020/927
Konu Özeti : Üniversitede öğretim üyesi olarak görev yapmakta olan bir kişinin aynı üniversitede açılan akademik kadroya aile yakınının alınmasında usulsüzlük bulunduğu hususunda yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebi

 

İlgili kişinin şikâyet başvurusunda özetle; üniversitede öğretim üyesi olarak görev yaptığı, görev yapmış olduğu bölümde akademik kadro ilanı verildiği, kadro için sınavların usulüne uygun şekilde yapıldığı ve kadro için aile yakınının sınavlarda başarılı olduğu, ancak sosyal medyada bu kadro işe alımı ile ilgili doğru olmayan haberlerin yapıldığı ve üniversitenin tepkiler üzerine soruşturma başlattığı, soruşturma sonucunda bir usulsüzlük olmadığının üniversite tarafından tespit edildiği, haberlerin kaldırılması talebi ile arama motoruna başvuruda bulunduğu ancak arama motoru tarafından URL’ler hakkında herhangi bir işlem yapılmamasına karar verildiği ve ilgili kişinin kaldırma talebini söz konusu siteyi kontrol eden web yöneticisine gönderebileceği bilgisinin tarafına iletildiği, dolayısıyla arama motoru tarafından ilgili kişinin talebinin karşılanmadığı, bu kapsamda yapılan haberlerin aile yakınının ve kendisinin kamuda görev yapmasını ve hayatını olumsuz yönde etkilediği belirtilerek söz konusu içeriklerin arama motorunda indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması talep edilmektedir. 

Bahse konu şikayet başvurusuna ilişkin olarak ilgili mevzuat hükümleri çerçevesinde yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulu tarafından alınan 08/12/2020 tarih ve 2020/927 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği belirtilmiştir.

Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 inci maddesinin birinci fıkrası “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü haizdir.
    
Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmü yer almaktadır. 

Öte yandan, Kişisel Verileri Koruma Kurulunun “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler”e ilişkin olarak almış olduğu 23.06.2020 tarih ve 2020/481 sayılı Kararı ile; 

  • Arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edilmesine,
  • Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirilmesine,
  • Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
  • İlgili kişinin arama motorları üzerinden kendi ad ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılması gerektiğine yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak karar ekinde yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,
  • İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğuna

karar verilmiştir.

Kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay üzerinde incelenecek kriterler de Kurulun bahse konu Kararı ile belirlenmiş olup bunlar; ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması şeklinde belirlenmiştir. 

Bu kapsamda, ilgili kişinin arama motorundan adı ve soyadı ile bağlantılı sonuçların kaldırılmasına yönelik talebinin değerlendirilmesi neticesinde;

  • İlgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu, söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına,
  • Diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine

karar verilmiştir.

27.01.2020: “Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri”
Karar Tarihi : 27/01/2020
Karar No : 2020/63
Konu Özeti : Beyaz Kod uygulaması kapsamında işlenen kişisel veriler

 

İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, konunun incelenmesi talep edilmiştir.

Şikâyet dilekçesi ekinde yer alan veri sorumlusunun konuya ilişkin yapmış olduğu başvuru çerçevesinde ilgili kişiye verdiği cevapta özetle,

  • Hasta kayıt sürecinde yaşanan olay ile ilgili olarak tutanak tutulduğu, Sağlık Bakanlığının Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak, Cumhuriyet Savcılığına bildirim yapıldığı,
  • Ayrıca Kanunun 6 ncı maddesi gereğince, kişisel verilerin sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Hastanede yaşanan tartışma sonucunda veri giriş elemanı tarafından Beyaz Kod verildiği, bu sebeple, Beyaz Kod tutanağının tutulduğu, söz konusu tutanak tutulurken ilgili kişinin kimlik bilgilerinin tutanağa işlendiği, kimlik bilgileri işlenmeden Beyaz Kod tutanağının tutulmasının mümkün olmadığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin ikinci fıkrasında yer alan hüküm ile söz konusu kişisel verilerin işlenmesinin mümkün olduğu

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/63 sayılı Kararında;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Taraflar arası yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin işlendiği,
  • Öte yandan, 2/11/2011 tarih ve 28103 mükerrer sayılı Resmi Gazetede yayımlanan Sağlık Alanında Bazı Düzenlemeler Hakkında Kanun Hükmünde Kararnamenin "Hukuki Yardım" başlıklı 54 üncü maddesinin birinci fıkrasında, "Bakanlık ve bağlı kuruluşlarında; sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan işlemler ve davalarda personelin talebi üzerine Bakanlık ve bağlı kuruluşlarınca hukukî yardım yapılır. Bakanlık ve bağlı kuruluşları merkez ve taşra teşkilatı ile döner sermaye teşkilatı kadrolarında bulunan hukuk birimi amirleri, hukuk müşavirleri ve avukatlar, ayrıca vekâletname ibraz etmeksizin ilgili personeli vekil sıfatı ile temsil eder. Bu yardımın usûl ve esasları Bakanlıkça belirlenir." hükmünün yer aldığı,
  • Bununla birlikte, Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi ile Beyaz Kod uygulamasına başlandığı, bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına "Beyaz Kod Kullanım Kılavuzu 2.0" kapsamında, şiddete maruz kalan çalışanın, adli süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte, olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edildiği,
  • Uygulamada yürütme organının Anayasada öngörülmüş düzenleyici işlemlere ek olarak, genel, soyut ve objektif hukuk kuralları öngörebildiği, bu tür düzenleyici işlemlere “adsız düzenleyici işlemler” denildiği, genelgelerin de bunlardan biri olduğu

değerlendirmelerinden hareketle,

  • İlgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla ilgili hastane görevlilerince tutanak tutulduğu, sonrasında hastane görevlilerince ilgili kişi hakkında Savcılığa suç duyurusunda bulunulduğu, bu kişilerce kamu gücü kullanılarak açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerinin hastane verilerinden alınarak olay yeri tutanağına 1 yıl 3 ay sonra işlendiği, bu şekilde temel hak ve özgürlüklerinin ihlal edildiği gerekçesiyle hastaneye başvurduğu; hastanenin vermiş olduğu cevapta ise, ilgili kişinin babasının tedavisinin eksiksiz planlanıp yapıldığı, olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği; ayrıca Kanunun 6 ncı maddesi uyarınca kişisel verilerin, hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kuruma yaptığı şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
27.01.2020: “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası”
Karar Tarihi : 27/01/2020
Karar No : 2020/59
Konu Özeti : İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişilmesi

 

Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikâyet edilen veri sorumlusunun Genel Müdürünün aynı zamanda ilgili kişinin ortak olduğu …..Ltd. Şti’nin diğer ortağı ve yetkili müdürü olduğu,
  • Ticari işlerin takip edilmesi için ortağı olduğu şirketin müdürü sıfatıyla söz konusu e-posta adresinin ilgili kişiye tahsis edildiği, ortağı olduğu şirkete ait işlemlerin ilgili kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta hesabının sunucu yedeklerinden ulaşıldığı,
  • E-posta ve eki kayıtları, yevmiye defteri ve fatura kayıtları ile şirketin gelirlerinin yatırıldığı banka kayıtlarının karşılaştırılması sonucunda, ilgili kişinin geçmiş yıllarda müdürlük görevini kötüye kullanarak şirket gelirlerinden bir kısmını muhtelif banka hesaplarına transfer ettiğinin tespiti üzerine Asliye Ticaret Mahkemesi nezdinde dava açıldığı,
  • E-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu şirket genel müdürü hakkında, ilgili kişinin söz konusu e-posta hesabının izinsiz olarak ele geçirildiği ve söz konusu hesaptaki kişisel bilgilerinin tümünün alenileştirildiği ve başkaca kişilerle paylaşıldığı, böylece ilgili kişinin 6698 sayılı Kanun kapsamındaki haklarının açıkça ihlal edildiği yönünde Savcılığa yaptığı şikâyet başvurusuna ilişkin olarak, “şirket ortakları tarafından şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan maillerin kişisel içerik taşımayacağı, şirket serverlarından elde edilen bilgilerin hukuk ve ceza yargılamasına delil olarak sunulmasının suç teşkil etmeyeceği, müştekinin şirket iş ve işlemleri dışındaki kişisel verilerinin başkaca bir ortamda kullanıldığı, yayıldığı vb. bir iddiasının da bulunmadığı, yine şirket mail içeriklerinden özel hayatına ilişkin bilgi ve veri elde edildiğine dair bir iddiasının da bulunmadığı, iddia edilen suçların ise unsurları itibariyle oluşmadığı” gerekçesiyle kovuşturma yapılmasına yer olmadığına karar verildiği,
  • Mülkiyeti, ortağı olduğu şirkete ait olan ve faturası şirket tarafından ödenen e-posta hesabının ilgili kişiye, şirkete ait işlemlerin takibi ile sözleşme ve ödeme işlemleri için tahsis edildiği ve kişisel bir e-posta hesabı olmadığı,
  • İddia edildiği gibi, söz konusu şirket uzantılı e-posta adresine hukuka aykırı bir erişimin gerçekleşmediğinin gerek Asliye Ticaret Mahkemesinin gerekse Savcılığın kararları ile sabit olduğu ve “server yedek” kayıtlarından elde edilen e-postaların, ilgili kişinin müdürlükten azil, şirketi uğrattığı zararın tazmini ve ticari kayyım atanması talepli açılan davalarda delil olarak yalnızca Mahkemeye ve suç duyurusu esnasında da Savcılığa sunulduğu,
  • İlgili kişinin, müdürlük yetkisinin tedbiren kaldırılması ve yerine yönetici kayyım atanması sonrasında söz konusu adresine erişildiği ve erişim ayarlarının değiştirildiği iddiasının gerçeğe aykırı olduğu ve Kurumu yanıltmaya yönelik olduğu; bu yöndeki iddianın Mahkeme ve Savcılık tarafından reddedildiği,
  • İlgili kişinin söz konusu e-posta adresine ait tüm verilerin yedekleriyle kopyalarının silinmesi yönündeki talebinin, şirket mailini kullanarak şirket aleyhine işlemiş olduğu zarar doğurucu, şirket gelirlerini zimmete geçirme ve suç teşkil eden fiillerine ilişkin delilleri Mahkemede ortadan kaldırma, bu delilleri karartma, hukuken geçersiz kılabilme amacına dönük olduğundan reddedildiği ve bunun hukuka uygun olduğu,
  • Şikayet edilen e-posta hesabının bulunduğu IP adreslerinin sahibi şirketin Kanun ve Türk Ceza Kanunu (TCK) uyarınca işlediği bir suç veya kabahatinin bulunmadığı, TCK’nın 26/1 maddesi gereğince, hakkını kullanan kimseye ceza verilemeyeceği; şikayet edilen şirket genel müdürünün, aynı zamanda ilgili kişinin ortak olduğu şirketin de ortağı ve yetkili müdürü olması sebebiyle, Türk Ticaret Kanununun 626 ncı maddesi hükmü uyarınca müdürlük görevini yerine getirebilmek ve şirket menfaatini korumak için şirkete ait sözleşme ve müşteri yazışmalarını denetlemek yükümlülüğünün bulunduğu, şirketin diğer müdürü olan ilgili kişinin hesap vermekten kaçınması üzerine, şirket uzantılı mail adresinin yedek kayıtlarının denetlenmesinin Kanuna ve hukuka uygun olduğu

belirtilmiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/59 sayılı Kararı ile;

  • Kanunun 4 üncü maddesinde kişisel verilerin işlenmesinde uyulacak genel ilkelerin, 5 inci ve 6 ncı maddelerinde de kişisel veriler ile özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği, bu çerçevede, ad, soyad, adres, telefon numarası, Türkiye Cumhuriyeti kimlik numarası, doğum tarihi gibi kişisel verilerin herhangi bir veri sorumlusu tarafından işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ancak kişisel verilerin

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı

değerlendirmelerinden hareketle;

  • Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
26.12.2019: “Kişisel Veri Güvenliği Rehberinde geçen “personel gizlilik sözleşmesi” imzalatılmasının 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlar için gerekli olup olmadığı”
Karar Tarihi : 26/12/2019
Karar No : 2019/393
Konu Özeti : 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlara “Personel Gizlilik Sözleşmesi” imzalatılması hakkında.

 

• Bilindiği üzere Anayasanın 128 inci maddesi; “Devletin, kamu iktisadi teşebbüsleri ve diğer kamu tüzelkişilerinin genel idare esaslarına göre yürütmekle yükümlü oldukları kamu hizmetlerinin gerektirdiği asli ve sürekli görevler, memurlar ve diğer kamu görevlileri eliyle görülür. Memurların ve diğer kamu görevlilerinin nitelikleri, atanmaları, görev ve yetkileri, hakları ve yükümlülükleri, aylık ve ödenekleri ve diğer özlük işleri kanunla düzenlenir. Ancak, malî ve sosyal haklara ilişkin toplu sözleşme hükümleri saklıdır.” hükmünü, 129 uncu maddesi ise; “Memurlar ve diğer kamu görevlileri Anayasa ve kanunlara sadık kalarak faaliyette bulunmakla yükümlüdürler.” hükmünü amirdir. Anılan Anayasa maddeleri, kamu hizmetlerinin Devlet memurları ve diğer kamu görevlileri eliyle yürütüleceğini, memurların bu görevleri yürütürken Anayasa ve kanunlara sadık kalma zorunluluğunu haiz olduğunu ve memurlara ilişkin haklar ve yükümlülüklerin kanunla düzenleneceğini açıkça hükme bağlamıştır. Konuya ilişkin ayrıntılı düzenlemelere ise 657 sayılı Devlet Memurları Kanununda yer verilmiştir.

• 657 sayılı Kanunun “Kapsam” başlıklı 1 inci maddesine göre, bu Kanunun kapsamına; Genel ve Katma Bütçeli Kurumlar, İl Özel İdareleri, Belediyeler, İl Özel İdareleri ve Belediyelerin kurdukları birlikler ile bunlara bağlı döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kefalet sandıklarında veya Beden Terbiyesi Bölge Müdürlüklerinde çalışan memurlar girmektedir. Sözleşmeli ve geçici personel için ise, 657 sayılı Kanunda belirtilen özel hükümler uygulanacaktır. 657 sayılı Kanunun 2 nci maddesi gereğince, bu Kanunun amacı; Devlet memurlarının hizmet şartlarını, niteliklerini, atanma ve yetiştirilmelerini, ilerleme ve yükselmelerini, ödev, hak, yüküm ve sorumluluklarını, aylıklarını ve ödeneklerini ve diğer özlük işlerini düzenlemektir. 657 sayılı Kanunun “Ödevler ve Sorumluluklar” başlıklı İkinci Bölümünde, Devlet memurlarına ilişkin oldukça ayrıntılı düzenlemelere yer verilmiştir. Bu Kanunun 6 ncı maddesi; “Devlet memurları, Türkiye Cumhuriyeti Anayasasına ve kanunlarına sadakatla bağlı kalmak ve milletin hizmetinde Türkiye Cumhuriyeti kanunlarını sadakatla uygulamak zorundadırlar. Devlet memurları bu hususu "Asli Devlet Memurluğuna" atandıktan sonra en geç bir ay içinde kurumlarınca düzenlenecek merasimle yetkili amirlerin huzurunda yapacakları yeminle belirtirler ve özlük dosyalarına konulacak aşağıdaki "Yemin Belgesi"ni imzalayarak göreve başlarlar.” hükmünü; 11 inci maddesi; “Devlet memurları kanun ve diğer mevzuatta belirtilen esaslara uymakla ve amirler tarafından verilen görevleri yerine getirmekle yükümlü ve görevlerinin iyi ve doğru yürütülmesinden amirlerine karşı sorumludurlar.” hükmünü; 12 nci maddesi; “Devlet memurları, görevlerini dikkat ve itina ile yerine getirmek ve kendilerine teslim edilen Devlet malını korumak ve her an hizmete hazır halde bulundurmak için gerekli tedbirleri almak zorundadırlar.” hükmünü amirdir. Anayasanın 128 inci ve 129 uncu maddeleri ile paralellik arz eden bu hükümlerle, Devlet memurlarının görevlerini icra ederken kanun ve diğer mevzuatla bağlı oldukları açıkça düzenlenmiştir.

• Devlet memurlarının görevleri sebebiyle bir zarara sebebiyet vermeleri halini ise, 657 sayılı Kanunun 12 nci ve 13 üncü maddeleri düzenlemiş olup, anılan maddelerde; “Devlet memurunun kasıt, kusur, ihmal veya tedbirsizliği sonucu idare zarara uğratılmışsa, bu zararın ilgili memur tarafından rayiç bedeli üzerinden ödenmesi esastır.” ve “Kişiler kamu hukukuna tabi görevlerle ilgili olarak uğradıkları zararlardan dolayı bu görevleri yerine getiren personel aleyhine değil, ilgili kurum aleyhine dava açarlar. Ancak, Devlet dairelerine tevdi veya bu dairelerce tahsil veya muhafaza edilen para ve para hükmündeki değerli kağıtların ilgili personel tarafından zimmete geçirilmesi halinde, zimmete geçirilen miktar, cezai takibat sonucu beklenmeden Hazine tarafından hak sahibine ödenir. Kurumun, genel hükümlere göre sorumlu personele rücu hakkı saklıdır.” hükümleri yer almaktadır. Görüldüğü üzere; Devlet memurlarının idare nezdinde bir zarara sebebiyet vermesi halinde, bu zararın giderilmesine ilişkin açık bir kanun hükmünün olmasının yanı sıra; memurlarca kişilere zarar verilmesi hali de ayrıca düzenlenmiştir. Kişilerin bir zarara uğraması halinde, memur hakkında değil ilgili idare hakkında dava açılmakta ve daha sonra o idare ilgili memura rücu edebilmektedir. 13 üncü maddenin gerekçesinde; “Bu madde, kamu hukukuna tabi görevler bakımından idare edilenlere verilecek zararlar konusundaki sorumluluğu düzenlemekte ve bu bakımdan «idare ile memur» arasındaki sorumluluk münasebetlerini düzenleyen 11 inci maddeden farklı bir nitelik taşımaktadır. Buradaki esas, yalnız memurların görevleri dolayısıyla değil, kamu hukukuna tabi bütün görevler dolayısıyla mevcut olduğu için, bu maddede «Devlet memuru» deyimi yerine «personel» deyimi kullanılmıştır. Hususi hukuka tabi hizmetlerde çalışan personel bakımından, tabiî, hususi hukuk esasları uygulanacaktır.

Maddedeki teminat iki açıdan incelenmelidir. Her şeyden önce, idare edilenler lehine bir teminat mevcuttur. İdare edilenler, kamu hukukuna tabi görevler dolayısıyla kendilerine verilmiş olan zararlarda, doğrudan doğruya görev sahibi kurum aleyhine dâva açabilecekler ve böylece asıl ödeme kabiliyeti olan bir davalı bulmuş olacaklardır. Aksi takdirde, özellikle büyük zararlar bakımından, davayı kazansalar bile, ödeme kabiliyeti olmayan bir memurla karşı karşıya kalmaları mümkündür. Halbuki maddedeki şekliyle, her zaman için karşılarında ödeme kabiliyetine sahip bir kurum bulabileceklerdir.

İkinci teminat, memur, daha doğrusu «Kamu hukukuna tabi hizmetlerle görevli personel» bakımındandır. Bu gibi personel, görevlerini yerine getirirken, daimî bir tazminat tehdidi altında kalmayacaklar ve dolayısıyla kamu hizmetlerinin çok ağır görülmesi gibi bir sakıncayla karşılaşılmayacaktır. Ancak, daimî olarak ve ilk elden dava tehdidi altında bulunmamak, memurların tamamıyla sorumsuz hareket edebilecekleri şeklinde anlaşılmamalıdır. Bu madde ile memur, mütemadiyen mahkemelerde kendi aleyhine açılmış davalarla uğraşmaktan korunmuştur ama görevleri dolayısıyla idareye vermiş olduğu zararlardan ötürü idareye karşı olan sorumluluğu devam etmektedir. Zira, 11 inci maddedeki «Zarar», memurun gerek doğrudan doğruya idareye vereceği zararları, gerekse başkalarına zarar ika etmek ve idareyi bu zararı tazmin mecburiyetinde bırakmak suretiyle sebep olacağı zararları kapsamaktadır. Bu son durumda, 12 nci maddenin son fıkrası hükmüne göre, idarenin haksız fiil sonucundaki genel hükümler çerçevesinde sorumlu personele rücu hakkı saklı kalmaktadır.” açıklamaları yer almaktadır. Bu açıklamalardan anlaşılacağı üzere; memurun bir zarara sebep olması halinde, bu zararın tazmini için doğrudan memur aleyhine değil de idare aleyhine dava açılmasının temelinde, hem zarara uğrayanın zararını tazmin kuvvetini haiz bir kişi ile karşılaşmasının istenilmesi hem de memurun görevini ifa ederken sürekli olarak tazmin baskısı altında hissetmesinin önlenmesinin istenilmesi yatmaktadır. Bu açıklamalar doğrultusunda görülmektedir ki; gerek Anayasa gerek 657 sayılı Kanun, yukarıda yer verilen hükümleri çerçevesinde, gizlilik sözleşmesi ile ulaşılmak istenen amacı karşılayacak nitelikte düzenlemeyi haizdir.

• 657 sayılı Kanun hükümlerinin yanı sıra, Devlete ve Kişilere Memurlarca Verilen Zararların Nevi ve Miktarlarının Tespiti, Takibi, Amirlerinin Sorumlulukları, Yapılacak Diğer İşlemler Hakkında Yönetmelik’in (Yönetmelik) 4 üncü maddesi; “Memurlar görevlerini dikkat ve itina ile yerine getirmek; Devlet malını korumak ve her an hizmete hazır halde bulundurmak için gerekli tedbirleri almakla görevli ve sorumludurlar. Memurlar, bu görev ve sorumlulukların yerine getirilmemesi sebebiyle doğan zararları bu yönetmelikte belli edilen usul ve esaslar uyarınca tazminle mükelleftirler.” hükmünü amir olup; Yönetmeliğin devamında yer alan maddelerde memurlarca verilen zararların giderilme usul ve esasları ayrıntılı olarak düzenlenmiştir. Kaldı ki, Anayasanın 40 ıncı maddesinde de; “Kişinin, Resmî görevliler tarafından vaki haksız işlemler sonucu uğradığı zarar da, kanuna göre, Devletçe tazmin edilir. Devletin sorumlu olan ilgili görevliye rücu hakkı saklıdır.” denilmek suretiyle memurun tesis ettiği bir işlem dolayısıyla kişilerin bir zarara uğraması halinde, bu zararın Devlet tarafından tazmin edileceği, yani doğrudan ilgili memura başvurulmayacağı, gerekmesi halinde zararı tazmin eden Devletin ilgili memura rücu edeceği hükme bağlanmıştır. Böylelikle hem Anayasada hem 657 sayılı Kanunda hem de Yönetmelikte memurların görevleri sebebiyle bir zarara sebebiyet vermeleri hali ayrıntılı olarak düzenlenmiş olup; bu zararın giderilmesi Devlete yükletilmiştir. Bu noktada belirtmek gerekir ki, kamu kurum ve kuruluşlarında 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ilgili maddeleri çerçevesinde kişisel verilerin işlenmesi, aktarılması vb. durumlarda bir veri güvenliği ihlali olması, bundan ötürü kişilerin yahut idarenin zarara uğraması halleri de yukarıda açıklanan hükümler çerçevesinde değerlendirilebileceğinden 657 sayılı Kanun kapsamında çalışan kişilerle ayrıca bir personel gizlilik sözleşmesinin imzalatılması suretiyle bu sorumluluğun düzenlenmesi uygun olmayacaktır.

• 657 sayılı Kanunun 16 ncı maddesinde yer alan; “Devlet memurları görevleri ile ilgili resmi belge araç ve gereçleri, yetki verilen mahaller dışına çıkaramazlar, hususi işlerinde kullanamazlar. Devlet memurları görevleri icabı kendilerine teslim edilen resmi belge, araç ve gereçleri görevleri sona erdiği zaman iade etmek zorundadırlar. Bu zorunluluk memurun mirasçılarına da şamildir.” düzenlemesi ile Devlet memurları için görevlerine ilişkin resmi belgelerin yetki verilen mahallerin dışına çıkarmaması ve görevlerinin sona ermesi ile bu belgeleri teslim etmesi zorunluluğu getirilmiştir. Böylelikle, göreve ilişkin resmi belgelerin güvenliği temin edilmek istenilmiştir.

• Bununla birlikte, gerek Kişisel Veri Güvenliği Rehberinde gerek Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli 2018/10 sayılı Kurul kararında bahsi geçen personel gizlilik sözleşmesi imzalatılması hususu, daha ziyade bir işverenin emir ve talimatları doğrultusunda iş akdine bağlı olarak çalışanlar yahut kamu kurum ve kuruluşlarında 657 sayılı Kanuna tabi olmaksızın çalışanlar için uygulanabilecektir.

• Sonuç olarak; Anayasa, 657 sayılı Kanun ve ilgili ikincil mevzuat kapsamında Devlet memurunun başlıca ödevi (yükümlülüğü) Anayasaya, kanunlara sadık kalarak görevini ifa etmektir. Dolayısıyla, kişisel verilere ilişkin tesis edilen iş ve işlemlerde de 6698 sayılı Kanun hükümlerine uygun davranma yükümlülüğü, bu yükümlülüğe aykırı davranması halinde gerek idareye gerek kişilere verdiği zararlardan ötürü sorumluluğu söz konusudur. Bir başka ifadeyle, bu kişilerin yükümlülükleri hâlihazırda 657 sayılı Kanun ve ilgili yönetmeliklerle belirlenmiş olup; 6698 sayılı Kanun ve ilgili yönetmeliklere uygun hareket etmeleri görevlerini ifa ederken uymaları gereken başlıca yükümlülüklerindendir. Yukarıda yer verilen gerekçelerle, kamu kurumu nezdinde 657 sayılı Kanun kapsamında çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesi imzalatılması uygun olmayacaktır. Ancak bu noktada önemle belirtmek gerekir ki, kişisel verilerin korunması hakkının bir temel hak ve özgürlük olarak yakın tarihte iç hukukumuzda düzenleme altına alınmış olduğu gözetildiğinde, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesi uygun olacaktır.

24.11.2020: ““Bir sigorta şirketinin kişisel veri ihlal bildirimi”
Karar Tarihi : 24/11/2020
Karar No : 2020/905
Konu Özeti : Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar

 

Veri sorumlusu bir sigorta şirketinin Kuruma intikal eden yazılarında özetle;

  • Veri sorumlusunun internet sayfasının bulunduğu test sunucusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği,
  • Test sunucusunda bulunan internet sayfasının kullanıcı giriş ekranından birden çok giriş denemesi yapılması sonucunda sisteme giriş sağlanabildiği,
  • Gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği,
  • Veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü,
  • Giriş denemeleri belirli aralıklarla yapılmış olduğundan SIEM sistemi tarafından algılanmadığı,
  • Yurtdışından çok fazla giriş denemesi gerçekleştiği ancak bunun herhangi bir anomaliye sebep vermediği,
  • İhlalden etkilenen kişi sayısının 311 olduğu,
  • İhlalden etkilenen kişisel verilerin T.C. kimlik no, isim, soy isim, e-posta, plaka bilgisi olduğu

ifadelerine yer verilmiştir.

Söz konusu kişisel veri ihlali bildiriminin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905 sayılı Kararı ile;

  • İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz konusu kontrollerin uygun bir şekilde yapılmadığı,
  • Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı,
  • Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel veri ihlalinin söz konusu olmayacağının görüldüğü,
  • Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı,
  • Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği

hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,

Kurula ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği dikkate alındığında Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı,
  • Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği,
  • Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,
  • Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı

dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL

olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

09.10.2020: “Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlal bildirimi”
Karar Tarihi : 09/10/2020
Karar No : 2020/787
Konu Özeti : Sağlık sektöründe faaliyet gösteren veri sorumlusu şirketin kişisel veri ihlal bildirimi hakkında

Sağlık sektöründe faaliyet gösteren bir veri sorumlusu tarafından Kuruma intikal ettirilen kişisel veri ihlali bildiriminde özetle;

  • İhlalin 30.09.2020 tarihinde başladığı,
  • İhlalin 05.10.2020 tarihinde tespit edildiği ve yine aynı tarihte sona erdiği,
  • Dünya genelinde yaygın olan ve veri sorumlusu tarafından da kullanılan bir uygulamada bulunan açıktan yararlanılarak, veri sorumlusu nezdinde söz konusu uygulamanın bulunduğu tek sunucuya zararlı bir yazılımın yüklendiğinin tespit edildiği,
  • Veriye erişim/ulaşılabilirlik bakımından ihlalin etkisinin, sunucuda bulunan uygulamanın erişiminin gerektiği “xml” formatındaki bazı dosyalara ulaşılamaması sonucunda fonksiyonlarını yerine getirememesi olduğu,
  • İhlalden etkilenen kişisel verilerin Kimlik Verisi (Ad-Soyad; Ticari Unvan, TCKN, Bağlı Olunan Vergi Dairesi), İletişim Verisi (Adres, E-Posta Adresi, Faks Numarası, Telefon Numarası), Müşteri İşlem Verisi (E-Faturanın Düzenlenme Tarihi ve Belge Numarası, Malın Nevi, Miktarı, Fiyatı ve Tutarı, Vergi Türü, Oranı ve Tutarı, Satılan Malların Teslim Tarihi ve İrsaliye Numarası, Fatura Tipi, Fatura Kayıt No. Ödeme Tarihi, Ödeme Şekli) olduğu,
  • İhlalden etkilenen kişi sayısının 200 (1 müşteri ve 199 tedarikçi); kayıt sayısının ise 1187 olduğu,
  • Fatura ilişkisi kapsamında hâlihazırda veri sorumlusunun veri kayıt sisteminde bulunan iletişim bilgileri vasıtasıyla ilgili kişilere bildirimin en geç Kişisel Verileri Koruma Kuruluna ihlal bildirimin yapıldığı tarihi takiben 3 (üç) iş günü içinde gerçekleştirileceği,
  • İhlal ile ilgili olan çalışanların son bir yıl içerisinde aldığı eğitimler hakkında;
    • ISO27001 uyumu ve sertifikası kapsamında bilgi güvenliği eğitimlerinin çalışanlar bakımından zorunlu eğitim statüsünde olduğu ve bu eğitimlerin her yıl güncel içerik ile tekrarlandığı,
    • Ayrıca işe yeni giren çalışanlar bakımından da aynı eğitimlerin oryantasyon programları kapsamında verildiği,
    • Veri sorumlusunun vermiş olduğu eğitimlerin, sunumların, katılım durumunu tevsik edici belgelerin ve log kayıtlarının münferit ekler olmak üzere veri ihlal bildirim formunun ekinde Kişisel Verileri Koruma Kurulunun bilgilerine sunulduğu,
  • İhlalden önce alınmış bulunan teknik tedbirler hususunda;
    • Ağ güvenliği ve uygulama güvenliği sağlandığı,
    • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemlerinin alındığı,
    • Çalışanlar için yetki matrisi oluşturulduğu,
    • Erişim loglarının düzenli olarak tutulduğu,
    • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin kaldırıldığı,
    • Güncel anti-virüs sistemleri kullanıldığı,
    • Güvenlik duvarlarının kullanıldığı,
    • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alındığı ve ilgili evrakın gizlilik dereceli belge formatında gönderildiği,
    • Kişisel verilerin yedeklendiği ve yedeklenen kişisel verilerin güvenliğinin de sağlandığı,
    • Kullanıcı hesap yönetimi ve yetki kontrol sisteminin uygulandığı ve bunların takibinin de yapıldığı,
    • Mevcut risk ve tehditlerin belirlendiği,
    • Her yıl sızma testi uygulandığı,
    • Kullanıcı bilgisayarlarının USB’lerinin kapalı durumda olduğu, sadece özel üretim cihazlarında açık olduğu,
    • Veri kaybı önleme yazılımlarının kullanıldığı,
    • Saldırı tespit ve önleme sistemlerinin kullanıldığı,
  • İhlalden önce alınmış olan idari tedbirler ile ilgili olarak;
    • Çalışanlar için veri güvenliği hükümleri içeren disiplin hükümlerinin mevcut olduğu,
    • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlandığı ve uygulamaya başlandığı,
    • Gizlilik taahhütnameleri yapıldığı,
    • Kişisel veri güvenliği politika ve prosedürlerinin belirlendiği,
    • Kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlandığı,
    • Kişisel veri güvenliğinin takibinin yapıldığı,
    • Kişisel verilerin mümkün olduğunca azaltıldığı,
    • Kurum içi periyodik ve/veya rastgele denetimler yapıldığı ve yaptırıldığı,
    • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlendiği ve uygulandığı,
  • İhlalden sonra alınmış teknik tedbirler hakkında;
    • Zararlı yazılımın bulunduğu sunucunun host edildiği lokasyonun dış bağlantılara kapatıldığı,
    • Adli bilişim yazılımları ile sistemin denetlendiği,
    • Şirket dış bağlantıları kesilerek kontrollü olarak aktive edildiği,
    • Sunucular üzerinde zararlı yazılımlar için forensic çalışması yapıldığı,
    • Siber istihbarat verilerinin analiz edildiği,
    • Gerçek zamanlı proses ve dosya hareketleri izlemeleri başlatıldığı,
    • Kullanılan yedekleme sisteminin kontrollü bir lokasyona taşındığı,
    • Veri sorumlusu bünyesinde daha önceden gerçekleşen ve kayıtları bulunan zararlı aktivitelerin detaylarının elde edilmesi sürecinin devam ettiği,
    • Uç noktalarda (istemci ve sunucu) tehdit ve güvenlik zafiyeti avcılığına yönelik çalışmaların devam ettiği,
    • Tehdit avcılığına yönelik kural tanımlarının yapılması işlemlerine devam edildiği,
    • Uç nokta tespit ve müdahale aracının kurulması işlemlerinin devam ettiği,
    • Uç nokta tespit ve müdahale aracına ait sensörlerin tüm uç noktalara dağıtılması işlemlerinin sürdüğü,
    • Uç noktalardan verilerin sorunsuz gelmesi için gerekli konfigürasyonların düzenlemelerinin devam ettiği,
    • İlk tespitlerde rastlanmamış olmasına karşın tekrardan hizmet temin edilen uzman firmadan alınan IOC bilgileri ve olaylara müdahale ekibi tarafından sağlanan kurallar aracılığıyla, sistemlerin ele geçirilmediğinin teyidine devam edildiği,
    • Ele geçtiği belirlenen uç noktalardan gerekli iz ve kayıtların toplanması sürecinin devam ettiği,
    • Zararlı IP ve domainlerin belirlenmesi, sistem üzerindeki kalıcılık mekanizmalarının belirlenmesi, arka kapıların tespit edilmesi ve zararlı proseslerin tespit edilmesi işlemlerinin devam ettiği,
  • İhlalden sonra alınmış idari tedbirler hususunda;
    • Veri İhlali Müdahale Planı prosedürünün derhal olay özelinde uygulamaya alındığı,
    • Yetkisiz erişim denemelerinin veri sorumlusunun bilgi teknolojileri birimi tarafından tespit edildiği an üst yönetime ve Şirket Kişisel Verilerin Korunması Komitesine (“Komite”) raporlandığı,
    • Komite ve üst yönetim tarafından derhal veri güvenliği ekibi kurulduğu,
    • Veri ihlali yetkilisinin bu ekibe başkanlık etmek üzere atandığı,
    • Siber güvenlik alanında uzman bir firma tarafından yetkilendirilen Siber Olaylara Müdahale Ekibinin, Veri Güvenliği Ekibine dâhil edildiği,
    • Veri Sorumluları Sicili kaydına göre revize edilen politika, prosedür ve gizlilik taahhütlerinin güncel versiyonlarının çalışanlara iletildiği,
    • Veri Sorumluları Sicili kaydına göre revize edilen politikaların güncel versiyonlarının internet sitesinde yayımlandığı

ifadelerine yer verilmiş; ihlal öncesi ve sonrası alınmış teknik ve idari tedbirlere ilişkin tevsik edici belgeler bildirim formunun ekinde Kurulun bilgilerine sunulmuştur.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/787 sayılı Kararı ile;

  • İhlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmayıp yaygın kullanılan bir uygulamadan kaynaklandığı; bu duruma veri sorumlusunun müdahale edemeyeceği,
  • Veri sorumlusunun ihlali kısa zamanda fark etmiş olduğu,
  • İhlalden etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği,
  • Veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirttiği,
  • İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu,
  • Veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu

hususları dikkate alındığında, söz konusu ihlale ilişkin ilgili kişilere bildirim yapıldığını tevsik edici belgelerin Kuruma gönderilmesi suretiyle söz konusu veri ihlal bildirimi ile ilgili olarak Kanunun 12 nci maddesi kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiştir.

08.10.2020: “Bir Banka Tarafından Kurul Kararı ile Verilen Talimatların Gereğinin Yerine Getirilmemesi”
Karar Tarihi : 08/10/2020
Karar No : 2020/766
Konu Özeti : Bir banka tarafından Kurul Kararı ile verilen talimatların gereğinin yerine getirilmemesi hakkında

İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11’inci maddesinde belirtilen hakları kapsamında yaptığı başvurusuna veri sorumlusu Banka tarafından verilen cevabı yetersiz bulduğuna; internet sayfasında aydınlatma metni yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link verdiğine, yirmi sayfalık söz konusu dokümanda ilgili kısımları bulabilmek için detaylı bir inceleme yapılması gerektiğine, aydınlatma yükümlülüğüne ilişkin Tebliğin birçok kuralına uyulmadığına, kişisel verilerin aktarıldığı kişiler listelenirken amaçlardan örnekler verildiğine ve bunlara benzer başka amaçların da olduğu izleniminin edinildiğine, kişisel verilerin işlenmelerindeki hukuki sebeplerden de bahsedilmediğine ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan veri sorumlusu Bankaya “aydınlatma metninde, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılması ve kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin açıkça belirtilmemesi nedeniyle söz konusu metnin, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin birinci fıkrasının (g) ve (h) bentlerinde yer verilen hükümlere uygun olmadığı; söz konusu internet sitesinde yer alan aydınlatma metninin gözden geçirilerek “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in hükümlerine uygun hale getirilmesini teminen veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak işlendiğine ayrıntılı şekilde yer verilmesi, gizlilik politikası metninin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/98 sayılı Kurul Kararı tebliğ edilmiş olup, tebliğ edilen Kurul kararı sonrası veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:

  • Veri sorumlusu tarafından Kurul Kararı tebligatı sonrası Kuruma gönderilen cevap metni ekinde yer alan aydınlatma metni örneğinde, taraflarına Karar Tebligatı yapılmadan önce aydınlatma amacıyla kullandığı Gizlilik Politikası metninden farklı olarak yeni bir aydınlatma metni hazırlandığı, bu aydınlatma metninde “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun olarak hangi kişisel verilerin işlendiğine kategorik bazda ve ayrıntılı bir şekilde yer verildiği, kişisel verilerin hangi ortamlarda ve hangi şekilde elde edildiği, neden işlendiği, aktarıldığı, hangi hukuki gerekçelerle hangi kurum ve kişilere aktarım yapıldığı ve verilerin ne kadar süre ile işlenip, saklandığına ilişkin net, anlaşılır ifadelere yer verilerek bilgi paylaşımında bulunulduğu,
  • Ancak bahsi geçen aydınlatma metninde işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine dair Tebliğ hükümlerine uygun bir aydınlatma yapılmadığı,
  • “Kişisel verilerinizi Hangi Hukuki Gerekçe ile İşliyoruz?” başlığı altında “6698 sayılı Kanun’un 5 ve 6’ncı maddeleri kapsamında, Bankamız tarafından kişisel verileriniz aşağıda belirtilen koşulların varlığı halinde işlenmektedir:
    • Açık rızanızın bulunması,
    • Kanunlarda veya yönetmelik, tebliğ, idari otorite kararı ve sair ikincil mevzuatta belirtilmiş hak veya yükümlülüklerimizin yerine getirilmesi,
    • Bankamız ile akdettiğiniz sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla veri işlemenin gerekli olması,
    • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    • Temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru menfaati için veri işlemenin zorunlu olması.

Bununla birlikte, özel nitelikli kişisel verileriniz ancak açık rızanızın bulunması veya Bankamızın tabi olduğu kanunlarda açıkça öngörülmesi halinde işlenmektedir.” ifadelerine yer verildiği, veri sorumlusuna tebliğ edilen Karar’da açıkça “… veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartlarına dayanarak işlediklerine ilişkin ayrıntılı şekilde yer verilmesi, …” talimatı yer aldığı halde veri sorumlusu tarafından hazırlanan aydınlatma metninin bu husus kapsamında Tebliğ’e uygun olmadığı,

  • Ayrıca veri sorumlusu tarafından Kuruma iletilen cevap metninde Kararda yer alan “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin herhangi bir ifadeye ve tevsik edici belgeye yer verilmediği görülmüş olup internet sayfasında yapılan incelemede kredi kartı başvurusu yapılmak istenildiğinde “HEMEN BAŞVUR” butonu seçildiğinde yönlendirilen sayfada “Kişisel Verilerin Korunması Kanunu kapsamında hazırlanan Aydınlatma Metni’ni okudum.” ifadesinin yer aldığı, aydınlatma metni linki seçildiğinde ise ekranda beliren aydınlatma metninin veri sorumlusunun anasayfasında “Kişisel Verilerin Korunması” başlığı altında yer alan aydınlatma metninden farklı olduğu görülmekle birlikte bahsi geçen aydınlatma metninin de kredi kartı başvurusuna özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni olduğu, bu aydınlatma metninde de Bankanın ana sayfasında yer alan aydınlatma metni gibi veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ayrıntılı bir şekilde yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırı olduğu,
  • Ayrıca veri sorumlusunun internet sayfasında konut kredisi başvurusu yapılmak istenildiğinde ise kredi kartı başvurusunda olduğu gibi bir uygulama ile karşılaşılmayıp yönlendirilen ilk sayfada sağ üst köşede “Gizlilik” butonunun yer aldığı, bu buton seçildiği takdirde "Gizlilik Politikası” sayfasına yönlendirildiği, “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni” sekmesine girildiğinde ise Kurul Kararı ardından Kurumumuza gönderilen güncellenmiş olan ve ana web sayfasında yer alan aydınlatma metni ile karşılaşıldığı, dolayısıyla konut kredisi başvurusu için bu başvuruya özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni ile aydınlatma yapıldığı

tespit edilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;

  • Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
  • Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir ifadeye ve tevsik edici belgeye yer verilmediği ve ayrıca veri sorumlusunun internet sayfasında çeşitli bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu metinin de Tebliğe uygun hazırlanmadığı

dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği, bu çerçevede Kurul Kararı ile verilen talimatın yerine getirilmeyerek veri sorumlusu tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar verilmiştir.

08.10.2020: “Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi”
Karar Tarihi : 08/10/2020
Karar No : 2020/765
Konu Özeti : Bir banka tarafından Kurul kararı ile verilen talimatın gereğinin yerine getirilmemesi hakkında

İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 11’inci maddesinde belirtilen hakları kapsamında veri sorumlusu Banka’ya yaptığı başvuruya Kanun’da düzenlenen otuz günlük süre içerisinde cevap verilmediği ve Bankanın internet sayfasında yayımlanan aydınlatma metninin de Kurum tarafından yayımlanan tebliğe uygun olmadığı, metinde kişisel verilerin işlenmesindeki sebeplerin belirtilmediği, ayrıca kişisel verilerin işlenme amaçları için genel ifadeler kullanıldığına ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan veri sorumlusu Bankaya “internet sayfasında yer alan Kişisel Verilerin Korunması Kişisel Verileriniz Koruma Altında!” başlıklı metnin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hazırlanmaması nedeniyle gözden geçirilmesi ve Tebliğ hükümlerine uygun hale getirilmesini teminen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak işlendiğine metinde ayrıntılı şekilde yer verilmesi, bahse konu metnin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/100 sayılı Kurul Kararı tebliğ edilmiş olup, bu çerçevede veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:

  • Veri sorumlusu tarafından aydınlatma metnine, işlenen kişisel verilerin işleme amaçları ile ilgili olarak “Bankamızdan alacağınız ürün ve hizmetler nedeni ile kuracağınız ilişki çerçevesinde; Kişisel verileriniz aşağıda belirtilen hukuki sebeplere dayalı olarak işlenmektedir. Kanun’un: 5/2 (a) maddesinde düzenlenen kanunlarda açıkça öngörülmesi; 5/2 (c) maddesinde düzenlenen Bankamızla imzalanan sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; 5/2 (ç) maddesinde düzenlenen Bankamızın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; 5/2 (e) maddesinde düzenlenen bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; 5/2 (f) maddesinde düzenlenen sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru menfaatleri için veri işlenmesinin zorunlu olması; son olarak özel nitelikli kişisel verileriniz ise; de 6/2 maddesine göre ancak açık rızanızla işlenebilmektedir.” şeklindeki paragrafın eklendiği,
  • Aydınlatma metninde veri sorumlusu tarafından işlenen kişisel verilere (kategorik olarak) ayrıca yer verilmediği gibi metinde kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile Kanunun 6’ncı maddesinin (2) numaralı fıkrasındaki hükümlerin sıralandığı,
  • Aydınlatma metninde işleme amaçlarında bazı eklemeler yapılması ve başvuru sahiplerinin veri sorumlusuna başvurularını iletme yollarının yeniden düzenlenmesi dışında genel itibariyle aydınlatma metninin Tebliğe uygun hale getirilmesi amacıyla talimatta yer verilen ilgili değişikliklerin yapılmadığı,
  • Ayrıca veri sorumlusu tarafından savunma metninde; 5411 sayılı Bankacılık Kanununda belirlenmiş olan ve Bankacılık Düzenleme ve Denetleme Kurumu tarafından ayrıca izin alınmış olan faaliyetleri de kapsayacak şekilde kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin, kişisel verilerin elde edilmesi anında bilgilendirildiği ancak Bankanın yürüttüğü sosyal sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi diğer faaliyetlerinde ise müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte bu hususta Kuruma tevsik edici herhangi bir belge sunulmadığı,
  • Bu kapsamda ilgili Karardaki “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin olarak veri sorumlusunun internet sayfasında kredi kartı başvurusu yapılmak istenildiğinde “Kişisel verilerimin neden ve nerelerden toplandığı, nasıl kullanıldığı ve diğer haklarımla ilgili olarak Kişisel Verilerin Korunması Kanunu uyarınca yapılan bilgilendirmeyi okudum.” ifadesinin yer aldığı ve bilgilendirme linkinin seçilmesi halinde ise yönlendirilen sayfada “Kişisel Verilerin Korunması” başlıklı bir aydınlatma metninin yer aldığı, söz konusu aydınlatma metninin Bankanın anasayfasında Gizlilik Politikası sekmesi atında da yer alan genel aydınlatma metni olduğu ve “Kredi Kartı Başvurusu” sırasında gerçekleştirilen işleme faaliyetine özgülenmemiş, genel nitelikli bir aydınlatma metni olduğu,
  • Ek olarak “İhtiyaç Kredisi Başvurusu” nda bulunulduğunda da yine aynı genel aydınlatma metni ile karşılaşılmış olup, kredi kartı başvurusu ve ihtiyaç kredisi başvurusu sırasında bu başvurulara özgü, sadece o işlem kapsamında işlenen kişisel verilerin işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlarına yer verilmeyen aksine genel nitelikli bir metin ile aydınlatma yapıldığı,
  • Söz konusu aydınlatma metinlerinde de veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırılığın söz konusu olduğu

değerlendirilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;

  • Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
  • Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak tevsik edici belge sunulmamakla birlikte veri sorumlusunun savunma yazısında; kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin kişisel verilerin elde edilmesi anında bilgilendirildiği ve veri sorumlusunun müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde ise özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte web sayfasında farklı bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu aydınlatma metninin de Tebliğe uygun olmadığı

dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği ve Kurul Kararı ile verilen talimatın yerine getirilmeyerek Banka tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 120.000 TL idari para cezası uygulanmasına karar verilmiştir.

10.09.2020: “İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında”
Karar Tarihi : 10/09/2020
Karar No : 2020/691
Konu Özeti : İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında

 

Kurumumuza intikal eden şikayette ilgili kişinin cep telefonu numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ilgili kişinin bu tür mesajlardan rahatsız olması, derneğin kendisine ait kişisel verileri nereden elde ettiğini bilmemesi ve kişisel verilerinin kendisinin açık rızası olmaksızın kullanılması nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca dernekten bilgi talebinde bulunduğu, söz konusu bilgi alma talebine 30 günlük yasal süre içinde herhangi bir yanıt verilmediği belirtilerek, veri sorumlusu dernek nezdinde gerçekleşen tüm usulsüzlüklerin ortaya çıkarılması ve gerekli yaptırımların uygulanması talep edilmiştir.

Söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikayetçinin bilgi edinme başvurusunun kendilerine tebliğ edilmiş olmasına rağmen, idari bir sıkıntı sebebiyle cevabın tanzim ve tebliğ edilemediği,
  • Şikayetçinin başvurusunu müteakip Şikayetçi adına kayıtlı olan telefon numarasının, derhal “pasif” konuma, diğer bir deyişle “gönderim yapılamaz” hale getirildiği,
  • Şikayetçinin dernek nezdinde SMS reklamlarına yahut bildirimlerine onay verdiğine ilişkin bir rızasının tespit edilemediği,
  • Dernek uhdesinde şikayetçinin telefon numarasından başka herhangi bir kişisel verisinin mevcut olmadığı,
  • Şikayetçinin telefon numarasının evvelce SMS bağışı yapması sebebiyle ellerinde bulunuyor olmasının kuvvetle muhtemel olduğu,
  • Söz konusu SMS’in şikayetçiye dernek tarafından gönderildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/09/2020 tarihli ve 2020/691 sayılı Kararı ile,

  • Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olduğu; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
  • Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle Kanunun 5 inci maddesindeki şartlardan birine dayanılarak işlenmesi gerektiği, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanunun 4 üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülüklerinden olduğu, somut olayda; veri sorumlusu dernek tarafından şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının işlenme sebebinin tevsik edilemediği gibi bu hususa ilişkin netlik içeren herhangi bir açıklama da yapılmadığı, veri sorumlusu tarafından yapılan “İlgili kişinin evvelce SMS bağışı yapmış olduğunun kuvvetle muhtemel olduğu” şeklindeki açıklamanın ise hukuki zemine oturan bir açıklama olmadığı gibi geçerli bir açıklama olarak da kabul edilemeyeceği, veri sorumlusu tarafından ilgili kişinin SMS gönderimine ilişkin açık rızasının tespit edilemediğinin açıkça belirtildiği, bu çerçevede şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması şeklide gerçekleşen kişisel veri işleme faaliyetinin Kanuna aykırılık teşkil ettiği, bu durumun ise veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğinin göstergesi olduğu,
  • Bununla birlikte, şikayete konu olayda, veri sorumlusu konumundaki derneğin ilgili kişinin bilgi edinme talebine yanıt vermediği ve yanıt vermeme sebebinin de “idari bir sıkıntı” şeklinde belirtildiği fakat bahsedilen idari sıkıntının ne olduğuna ilişkin aydınlatıcı bir açıklama yapılmadığı, Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğdeki düzenlemeler ışığında veri sorumlularının herhangi bir başvuru karşısında yapabileceği iki tür hareketin bulunduğu ve bu kapsamda söz konusu başvurunun veri sorumluları tarafından kabul edilmesinin ya da gerekçesinin açıklanarak reddedilmesinin gerektiği, somut olayda derneğin ilgili başvuru karşısında hiçbir harekette bulunmaması dolayısıyla derneğin ilgili kişinin başvurusuna cevap vermemesinin Kanuna aykırılık teşkil ettiği,
  • Öte yandan, Kanunun 7 nci maddesinin birinci fıkrasının; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü amir olduğu, söz konusu hükmün kanunlara uygun şekilde işlenmiş olan kişisel verilerin daha sonraki süreçte silinmesi, yok edilmesi, anonim hale getirilmesi için açıklama getirdiği, bununla birlikte başlangıçtan itibaren hukuki sebepten yoksun olması dolayısıyla hukuka aykırı kişisel veri işlemenin söz konusu olması halinde bu kişisel verilerin derhal silinmesi gerektiği, zira başlangıçtan itibaren vuku bulmaması gereken ve halihazırda hukuka aykırılık arz eden bu durumun derhal ortadan kaldırılarak hukuka uygunluğun en kısa sürede tesis edilmesi gerektiği,
  • Şikayete konu olay bakımından, bahse konu telefon numarasının kara listeye alınmasının hukuka aykırı olarak işlenen kişisel verinin silindiği anlamına gelmediği, hiçbir hukuki sebebe dayanmaksızın işlenen kişisel verinin halihazırda derneğin sistemlerinde kara listeye alınmış bir şekilde bekliyor oluşunun hukuka aykırı durumun devam ettiğini gösterdiği, söz konusu hukuka aykırılığın devam etmemesi adına bahse konu telefon numarasının imha edilmesi gerektiği

değerlendirmelerinden hareketle;

  • Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığından, veri sorumlusu sıfatını haiz dernek hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Veri sorumlusu dernek tarafından ilgili kişilerin Kanun kapsamındaki başvurularının Kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına,
  • İlgili kişinin halihazırda hukuka aykırı olarak elde edilmiş olan kişisel verisi niteliğindeki cep telefonu numarasının imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

11.08.2020: “18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun imha edilmesine yönelik ilgili kişinin babası tarafından veri sorumlusuna başvurulması ve cevap alınamaması üzerine ilgili kişinin kendisi tarafından Kurumumuza şikayette bulunulması”
Karar Tarihi : 11/08/2020
Karar No : 2020/622
Konu Özeti : 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun imha edilmesine yönelik ilgili kişinin babası tarafından veri sorumlusuna başvurulması ve cevap alınamaması üzerine ilgili kişinin kendisi tarafından Kurumumuza şikayette bulunulması hakkında Kişisel Verileri Koruma Kurulunun Kararı

 

Gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından başvuruda bulunulan veri sorumlusunun söz konusu talebe cevap vermemesi üzerine, ilgili kişinin kendisinin Kişisel Verileri Koruma Kuruluna (Kurul) yaptığı şikayetin Kurulca incelenmesi neticesinde alınan 11/08/2020 tarihli ve 2020/622 sayılı Kararda, ilgili kişinin 18 yaşını doldurmadığı dikkate alındığında öncelikli olarak Kurula şikayette bulunulmasına dair hakkın ilgili kişi tarafından kullanılıp kullanılmayacağı ile veri sorumlusuna başvuran ile Kurula şikayette bulunan kişilerin farklı olması nedeniyle söz konusu şikayetin mevzuatta yer alan usul şartlarını taşıyıp taşımadığı hususunun ele alınması gereğinin hasıl olduğundan hareketle aşağıdaki değerlendirmelere yer verilmiştir;

  • Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının birinci bölümünde yer alan ve temel hak ve hürriyetlerin niteliğini açıklayan 12 nci maddesinde; herkesin kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlere sahip olduğunun düzenlendiği, takip eden maddelerde ise temel hak ve hürriyetlerin hangi koşullar altında sınırlanabileceği ya da durdurulabileceği ile temel hak ve hürriyetlerin neler olduğunun hüküm altına alındığı,
  • 2010 Anayasa değişikliği ile hukukumuza dâhil edilen “Kişisel verilerin korunmasını isteme hakkı”nın, Anayasanın “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde, temel bir hak ve özgürlük olarak düzenlendiği, “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrasında; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu; bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığının belirtildiği; kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceğinin hüküm altına alındığı,
  • Anayasanın mezkûr hükmü uyarınca 24.03.2016 tarihinde kabul edilen ve 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun amacının, “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olduğu
  • 4721 sayılı Türk Medeni Kanununun 13 üncü maddesinde; yaşının küçüklüğü yüzünden veya akıl hastalığı, akıl zayıflığı, sarhoşluk ya da bunlara benzer sebeplerden biriyle akla uygun davranma yeteneğinden yoksun olmayan herkesin Türk Medeni Kanununa göre ayırt etme gücüne sahip olduğunun düzenlendiği, mezkûr Kanunun “Ayırt etme gücüne sahip küçükler ve kısıtlılar” başlıklı 16 ncı maddesinde ise ayırt etme gücüne sahip küçükler ve kısıtlıların, yasal temsilcilerinin rızası olmadıkça kendi işlemleriyle borç altına giremeyeceği düzenlenmekle birlikte karşılıksız kazanma ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rızanın gerekli olmadığının hüküm altına alındığı; bu çerçevede, kural olarak sınırlı ehliyetsizlerin kişiye sıkı sıkıya bağlı haklarını kullanmada yasal temsilcinin rızasını almak zorunda olmadığı düzenlense de, kişiye sıkı sıkıya bağlı haklardan olup çok önemli sonuçlar doğurmaya elverişli olan bazılarının (Ergin kılınma-MK. m.12, nişanlanma- MK. m.118, evlenme MK. m.126,127, evlenmeye izin MK. m.124/II, evlatlığa alınma MK. m.308) istisnai olarak yasal temsilcinin rızasına tabi tutulduğunun görüldüğü (AKİPEK, Jale G./ AKINTÜRK, Turgut/ ATEŞ, Derya: Türk Medeni Hukuku Başlangıç Hükümleri, Kişiler Hukuku, I. Cilt, Yenilenmiş 12. Baskı, İstanbul 2015, s. 325, 326.); bu itibarla, kişiye sıkı sıkıya bağlı hakların kullanılmasına karar verme yetkisinin bizzat hak sahibi tarafından kullanılması gerektiği, hakkın kullanılmasına karar verme yetkisinin başkasına devredilemediği, bu yetkinin başkasına tanınmasının kişilik kavramı ile bağdaşmadığının öğretide kabul gördüğü (OĞUZMAN, M. Kemal/ BARLAS, Nami: Medeni Hukuk, 18. Bası, İstanbul 2012, s. 171.),
  • Diğer taraftan, 4721 sayılı Kanun başta olmak üzere mevzuatımızda, ne kişiye sıkı sıkıya bağlı hakkın ne de kişilik hakkının tanımına yer verildiği; bununla birlikte, kişilik hakkının, kişinin maddi ve manevi varlıkları ile iktisadi bütünlüğü ve sır çevresi üzerinde sahip olduğu kişiye sıkı sıkıya bağlı bir hak olduğu, bu niteliği nedeniyle herkese karşı ileri sürülebilen bu hakkın başkasına devredilemez, vazgeçilemez ve zamanaşımına uğramaz nitelikte olduğu, kişiye sıkı sıkıya bağlı olan hakların bu niteliklerinden ötürü miras yoluyla mirasçılara geçmediği ve hak süjesinin ölümüyle kendiliklerinden ortadan kalktığı; bu anlamda, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların da kişiye sıkı sıkıya bağlı haklardan olduğu; kişiye sıkı sıkıya bağlı hakların doktrinde mutlak ve nispi olarak ayrıldığı; nişanlanma, evlenme, evlilik dışı çocuğu tanıma, mal rejimi sözleşmesi yapma, derneğe üye olma, ölüme bağlı tasarrufta bulunma gibi mutlak kişiye sıkı biçimde bağlı hakların kullanılmasında karar verme yetkisi, velinin rızası koşuluyla bizzat hak sahibine tanınmışken (BAYGIN, Cem: Soybağı Hukuku, On iki Levha, İstanbul 2010, s. 314.); kişiliği koruyucu davalar, yaş ve isim düzeltme davalarını ikame etme gibi nispi kişiye sıkı biçimde bağlı hakların küçük tarafından bizzat kullanılabileceği gibi, velinin de küçük adına ve hesabına kullanabildiği; bu anlamda 4721 sayılı Kanunun 16 ncı maddesinin birinci fıkrasında yer alan “Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir.” hükmündeki ayırt etme gücüne sahip küçüklerin kişiye sıkı sıkıya bağlı hakları kullanmalarında yasal temsilcilerinin rızasının gerekli olmadığına ilişkin kuralın çocuk için bir yetki kuralı olduğu, ancak veli için bir yasak kuralı olmadığı; velinin nispi kişiye sıkı biçimde bağlı hakları küçük adına ve hesabına kullanabildiği (SEROZAN, Rona; Çocuk Hukuku, Vedat Kitapçılık, İstanbul 2017, s. 282; BAYGIN: s. 315.); bu bakımdan söz konusu ayrıma göre, çocuğun üstün yararı da gözetilerek kişisel verilerin korunması hakkının da somut olay bakımından nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınmasının yerinde olacağının değerlendirildiği,
  • Öte yandan, “Kişisel Sağlık Verileri Hakkında Yönetmelik”in (Yönetmelik), “Genel ilke ve esaslar” başlığını taşıyan 5 inci maddesinin altıncı fıkrasında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili olarak 6698 sayılı Kanunun 11 inci maddesinde yer alan hakları kullanabileceğinin belirtildiği; Yönetmeliğin 8 inci maddesinin birinci fıkrasında ise ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği, ayırt etme gücüne sahip çocukların, sağlık geçmişlerine ebeveynlerin erişimini e-Nabız üzerinden izne tabi tutabileceğinin hüküm altına alındığı; mezkûr Yönetmelik hükümleri uyarınca sınırlı ehliyetsizlerin de ayırtım gücüne sahip olmak koşuluyla Kanunun 11 inci maddesinde belirtilen hakları bizzat kullanabileceği, bunun yanında e-Nabız verilerine erişim hususunda küçük tarafından aksi öngörülmedikçe hem küçüğün hem velisinin yetkili kılındığının anlaşıldığı; anılan düzenlemenin somut olay bakımından kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak olduğu yönündeki değerlendirme ile de uyumlu olduğu; zira her iki durumda da ayırtım gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi velisinin de onun adına ve hesabına kullanımına olanak tanındığı

değerlendirmelerine yer verilerek;

Bu kapsamda, küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varılmış ve Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında Kurula intikal eden dilekçe ile ilgili olarak inceleme başlatılmasına karar verilmiştir.

27.08.2020: “Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi”
Karar Tarihi : 27/08/2020
Karar No : 2020/649
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde biyometrik imza verisinin kullanılması hakkında.

 

Kurumumuza intikal eden bir başvuruda; 6098 sayılı Türk Borçlar Kanununun (6098 sayılı Kanun) sözleşmelerin şekillerine ilişkin esasların belirlendiği 14 üncü ve 15 inci maddelerinde imzaların yalnızca el ile atılma zorunluluğunun yer alması sebebiyle biyometrik imzaların 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 6 ncı maddesinin üçüncü fıkrası kapsamında değerlendirilip değerlendirilemeyeceği hususunda Kurumumuz görüşlerinin talep edilmesi üzerine Kişisel Verileri Koruma Kurulunun (Kurul) 27.08.2020 tarih ve 2020/649 sayılı kararında aşağıdaki değerlendirmelere yer verilmiştir.

Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.

Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Bu noktada belirtmekte fayda görülmektedir ki, her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı olmadığı hususuna Avrupa Sayısal Tek Pazarı’ndaki (Digital Single Market) elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili Avrupa Birliği düzenlemesi standartı olan “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi”nde (eIDAS) de değinilmiştir. Islak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır); biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.

Bilindiği üzere, 6698 sayılı Kanunun 6 ncı maddesinde; biyometrik veri özel nitelikli kişisel veriler arasında sayılmış olup, biyometrik veriler açık rıza bulunmayan hallerde ancak kanunlarda öngörülmesi halinde işlenebilmektedir. Bu çerçevede, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeler kanunlarda öngörülen hallere örnek teşkil etmektedir. Anılan örneklerden de görüldüğü üzere, başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin yer alması durumunda ilgili kanunlarda yer alan hükümler uygulanacaktır. Ancak biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir.

Öte yandan, 6098 sayılı Kanunun sözleşmelerin şekline ilişkin düzenlemeleri içeren kısmında yer alan 14 üncü ve 15 inci maddeleri;

b. Unsurları

MADDE 14- Yazılı şekilde yapılması öngörülen sözleşmelerde borç altına girenlerin imzalarının bulunması zorunludur. Kanunda aksi öngörülmedikçe, imzalı bir mektup, asılları borç altına girenlerce imzalanmış telgraf, teyit edilmiş olmaları kaydıyla faks veya buna benzer iletişim araçları ya da güvenli elektronik imza ile gönderilip saklanabilen metinler de yazılı şekil yerine geçer.

c. İmza

MADDE 15- İmzanın, borç altına girenin el yazısıyla atılması zorunludur. Güvenli elektronik imza da, el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğurur. İmzanın el yazısı dışında bir araçla atılması, ancak örf ve âdetçe kabul edilen durumlarda ve özellikle çok sayıda çıkarılan kıymetli evrakın imzalanmasında yeterli sayılır. Görme engellilerin talepleri halinde imzalarında şahit aranır. Aksi takdirde görme engellilerin imzalarını el yazısı ile atmaları yeterlidir.

hükmünü amirdir. Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.

Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar ışığında;

  • Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,
  • Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği,
  • 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği,
  • Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;

a) Açık rıza alınması,

b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,

c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması

şartıyla gerçekleştirilebileceği değerlendirilmiştir.

22.07.2020: “Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Değerlendirmeleri”

Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler
Karar Tarihi : 22/07/2020
Karar No : 2020/560
Konu Özeti : Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler

Kişisel Verileri Koruma Kurulu’na (Kurul) iletilen bir şikâyet dilekçesi ile ilgili olarak iddialara konu Site Yönetimi hakkında başlatılan res’en inceleme neticesinde Kurul tarafından alınan 22.07.2020 tarih ve 2020/560 sayılı kararda şikayet ve resen inceleme konusu hususlara ilişkin yapılan değerlendirmelerin yanı sıra Site Yönetimlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) karşısındaki durumuna ilişkin değerlendirmelere de yer verilmiş olup buna göre söz konusu kararda;

6698 sayılı Kanun’nun “Tanımlar”ı düzenleyen 3’üncü maddesinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”yi ifade ettiği,
Öte yandan, 634 sayılı Kat Mülkiyeti Kanunu’nun; 27’nci maddesinin, “Ana gayrimenkul, kat malikleri kurulunca yönetilir ve yönetim tarzı, kanunların emredici hükümleri saklı kalmak şartıyla bu kurul tarafından kararlaştırılır.” hükmünü, 28’inci maddesinin birinci fıkrasının, “Yönetim planı yönetim tarzını, kullanma maksat ve şeklini yönetici ve denetçilerin alacakları ücreti ve yönetime ait diğer hususları düzenler. Yönetim planı, bütün kat maliklerini bağlayan bir sözleşme hükmündedir.” hükmünü, aynı maddenin dördüncü fıkrasının, “Yönetim planı ve bunda yapılan değişiklikler, bütün kat malikleriyle onların külli ve cüzi haleflerini ve yönetici ve denetçileri bağlar.” hükmünü, 32’nci maddesinin, “Ana gayrimenkul kat malikleri kurulu tarafından, sözleşme, yönetim planı ve kanun hükümleri uyarınca verilecek kararlara göre yönetilir. Bütün kat malikleriyle külli ve cüzi halefleri, yönetici ve denetçiler, kat malikleri kurulunun kararlarına uymakla yükümlüdürler. Ana gayrimenkulün kullanılmasından veya yönetiminden dolayı kat malikleri arasında veya bunlarla yönetici ve denetçiler arasında veya denetçilerle yöneticiler arasında çıkan anlaşmazlıklar, kat malikleri kurulunca çözülür ve karara bağlanır…” hükmünü, 34’üncü maddesinin birinci fıkrasının, “Kat malikleri, ana gayrimenkulün yönetimini kendi aralarından veya dışardan seçecekleri bir kimseye veya üç kişilik bir kurula verebilirler; bu kimseye (Yönetici), kurula da (Yönetim kurulu) denir.” hükmünü, aynı maddenin beşinci fıkrasının, “Yönetici her yıl kat malikleri kurulunun kanuni yıllık toplantısında yeniden atanır; eski yönetici tekrar atanabilir.” hükmünü amir olduğu,
Bu hükümlere göre; gayrimenkulün bütünü için söz sahibi olan birim kat malikleri kurulu olup kat malikleri kurulunun, yönetici de dâhil kat maliklerini bağlayan bir sözleşme hüviyetinde olan yönetim planının içeriği ve kapsamını belirleyen merci olduğu ve yöneticinin görevinin, kat malikleri kurulunun aldığı kararlar çerçevesinde, bu kararları uygulayıcı olarak faaliyet göstermekten ibaret bulunduğu,
Aynı şekilde, 634 sayılı Kanun’un 35’inci maddesi gereği, yöneticinin görevlerinin yönetim planında belirtildiği ve yönetim planında aksine hüküm olmadıkça yöneticiye tevdi edilen vazifelerden bir tanesinin de kat malikleri kurulunca verilen kararların yerine getirilmesi olduğu,
Aynı Kanun’un 38’inci maddesinin birinci fıkrasında yöneticinin kat maliklerine karşı aynen bir vekil gibi sorumlu olduğunun belirtilmiş olduğu ve bahse konu Kanun’un 40’ıncı maddesinin, yöneticinin kaide olarak vekilin haklarına sahip olduğu hükmünü haiz olduğu,
Öte yandan, bahse konu Kanun’un 41’inci maddesinde, kat malikleri kurulunun, yöneticinin bu görevdeki davranışlarını devamlı olarak denetleyeceği ve haklı bir sebebin ortaya çıkması hâlinde yöneticiyi her zaman değiştirebileceği düzenlemesine yer verildiği,
Yöneticinin devamlı olarak kat malikleri kurulunun denetimi altında olduğu, kat malikleri kuruluna hesap vermesinin ve haklı sebebin varlığı hâlinde her zaman değiştirilebilmesinin, ana gayrimenkul üzerindeki asıl söz sahibinin kat malikleri kurulu olduğunu gösterdiği,
Ayrıca, 634 sayılı Kanun’un 35’inci maddesinin birinci fıkrasında yöneticinin görevlerinin sayıldığı, aynı maddenin ikinci fıkrası uyarınca; yönetici ataması yapılmayan gayrimenkullerde birinci fıkrada sayılan işlerin yapılması noktasında kat maliklerinin müştereken sorumlu tutulduğu, müştereken sorumluluğun söz konusu olduğu hâllerde birden fazla kişinin; bir borcun ödenmesinde ve zararın giderilmesinde kendi payları oranında sorumluluğu paylaştığı,
Yine 634 sayılı Kanun’un 34’üncü maddesinin ikinci fıkrasının; “Ana gayrimenkulün sekiz veya daha fazla bağımsız bölümü varsa, yönetici atanması mecburidir.” hükmünü amir olduğu, kat mülkiyetine konu gayrimenkulün bağımsız bölüm sayısının sekizden az olması durumunda yönetici atama zorunluluğunun bulunmadığının görüldüğü, sekiz bağımsız bölümden az bağımsız bölüme sahip bir gayrimenkulde yöneticinin atanmaması ihtimalinin varlığından da anlaşılacağı üzere; yöneticinin yahut yönetim kurulunun her hal ve şartta karşımıza çıkan bir yapı olmadığı, buna karşın kat malikleri kurulunun, bu kurulu oluşturan şahıslardan bağımsız olarak tamamen gayrimenkulün bağımsız bölümlerinin varlığından kaynaklanan bir yapı görünümü arz ettiği, sekiz bağımsız bölümden fazla olsun ya da olmasın her gayrimenkulün bağımsız bölümleri üzerinde kurulan mülkiyet sonucu oluşan kat malikleri kurulunun, mülkiyet hakkından kaynaklanan bir topluluk olduğu,
634 sayılı Kanun’un 20’nci maddesinin birinci fıkrası uyarınca, kat maliklerinin ortak giderlere kendi arsa payları oranında katılmakla yükümlü olduğu, aynı maddenin ikinci fıkrasında ise, gider ve avans payını ödemeyen kat maliki hakkında diğer kat maliklerinden her biri yahut yönetici tarafından dava açılabileceğinin ve icra takibi başlatılabileceğinin teminat altına alındığı,
Bununla birlikte, 634 sayılı Kanun’un 66’ncı maddesi uyarınca toplu yapının, “Bir veya birden çok imar parseli üzerinde, belli bir onaylı yerleşim plânına göre yapılmış veya yapılacak, alt yapı tesislerini, ortak kullanım yerlerini, sosyal tesis ve hizmetleri ile bunların yönetimi bakımından birbirleriyle bağlantılı birden çok yapıyı” ifade ettiği, bahse konu Kanun’un 69’uncu maddesinin, blok yapıların her birinin, o blokta bulunan bağımsız bölüm maliklerinden oluşan blok kat malikleri kurulunca yönetileceği hükmünü haiz olduğu,
Bu çerçevede, gerek veri sorumlusunun 6698 sayılı Kanun’da yer alan tanımının gerekse 634 sayılı Kanun’da yer alan düzenlemelerin bir arada değerlendirilmesinden; kat mülkiyetine konu olan gayrimenkulün bütünü için kararlar alan, işlerin nasıl yürütüleceğini belirleyen birimin kat malikleri kurulu olduğu, bununla birlikte; kat malikleri kurulunun tüzel kişiliği haiz olmaması dolayısıyla 6698 sayılı Kanun’un 3’üncü maddesindeki veri sorumlusu tanımının içerdiği kriterlerin tamamını taşımadığının görüldüğü, zira anılan tanımdan hareketle veri sorumlusu sıfatının bir gerçek yahut tüzel kişiye ait olabileceği sonucunun çıktığı, kat malikleri kurulunun tüzel kişiliğinin bulunmadığı hususunun çeşitli Yargıtay kararlarında da açıkça ifade edildiği (Yargıtay 1. Hukuk Dairesi T. 29.03.2004, E. 2004/3091, K. 2004/3556: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetiminin) tüzel kişiliği ve bu nedenle taraf ehliyeti yoktur.” Yargıtay 1. Hukuk Dairesi E. 2007/10090, K. 2007/11914: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetimin) tüzel kişiliği bu nedenle taraf ehliyeti yoktur.”),
Ancak, durum böyle olsa bile 634 sayılı Kanun’un 35’inci maddesinde, yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği,
Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde ayrıksı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği,
Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği
değerlendirmelerine yer verilmiştir.

16.07.2020: “Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması hakkındaki görüş talebi”

Karar Tarihi : 16/07/2020
Karar No : 2020/542
Konu Özeti : Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması talebi hakkında.

Kurumumuza gelen muhtelif başvurular ve kamuoyunda yer alan tartışmalarda; Türkiye’de yerleşik olmayan veri sorumlularınca 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) ve ikincil mevzuat kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı gerçekleştirilirken, aynı veri sorumlusu temsilcisinin birden fazla yurt dışında yerleşik veri sorumlusu adına girişinin yapılabildiği ancak aynı irtibat kişisinin birden fazla yurt dışında yerleşik veri sorumlusu adına girişinin yapılamadığı ve her bir yurt dışında yerleşik veri sorumlusu için farklı bir gerçek kişinin atanması gerektiğinden bu hususta zorlukla karşılaşıldığı belirtilerek bir gerçek kişinin, aynı veri sorumlusu temsilcisi tarafından yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanabilmesi hususunda görüş ve teknik düzenleme yapılmasının talep edilmesi üzerine Kişisel Verileri Koruma Kurulunca (Kurul) yapılan değerlendirme neticesinde alınan 16.07.2020 tarih ve 2020/542 sayılı kararın özetine aşağıda yer verilmektedir.

Bilindiği üzere Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün yerine getirilmesi esnasında veri sorumlularına rehberlik etmek amacıyla hazırlanarak Kurum internet sayfasında yayımlanan “Sorularla Veri Sorumluları Sicil Bilgi Sistemi” dokümanında 41 ve 42 nci sorulara verilen cevaplarda; bir gerçek kişinin aynı anda birden fazla veri sorumlusu tarafından irtibat kişisi olarak atanamayacağı, bir veri sorumlusunun da aynı anda birden fazla irtibat kişisi atayamayacağı ifade edilmiştir.

Ayrıca Türkiye’de yerleşik grup şirketlerinde ortak irtibat kişisi atanması hakkında görüş talebiyle ilgili olarak 18.10.2019 tarihli ve 2019/299 sayılı Kurul kararında irtibat kişisinin, veri sorumlusunun Sicile kayıt yükümlülüğünü yerine getirebilmesi için kişisel veri işleme envanteri ve kişisel veri işleme faaliyetlerine ait doğru, güncel ve güvenilir bilgiye haiz olmasının gerektiği, veri sorumlusunun Kanun ve ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurumla iletişimi sağlamak amacıyla atandığı, Sicile bildirilen bilgilerde değişiklik olması halinde bu değişikliğin meydana geldiği tarihten itibaren en geç 7 gün içinde VERBİS’te değişiklik yapması gerektiği, bu değişikliği süresinde sisteme girebilmesi için veri sorumlusunun kişisel veri işleme faaliyetlerini yakından takip etmesi gerektiğinden bir gerçek kişinin aynı anda sadece bir veri sorumlusu tarafından irtibat kişisi olarak atanabilmesinin uygun olduğu belirtilmiştir.

Öte yandan Sicile ilişkin usul ve esasları düzenleyen Veri Sorumluları Sicili Hakkında Yönetmeliğin (Yönetmelik) 4 üncü maddesinde veri sorumlusu temsilcisi, “Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.” şeklinde, irtibat kişisi de “Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi” şeklinde tanımlanmıştır.

Aynı Yönetmeliğin 11 inci maddesi ikinci fıkrasında, “Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.” hükmü yer almış, üçüncü fıkrasında ise Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atamasına ilişkin atama kararında asgari olarak bulunması gereken hususlar sayılmıştır.

Buna göre, Türkiye’de yerleşik olmayan veri sorumluları için; Kurum tarafından yapılan tebligat veya yazışmaları onun adına tebellüğ veya kabul etmek, Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletmek, veri sorumlusundan gelecek cevabı Kuruma iletmek, ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına almak ve veri sorumlusuna iletmek, ilgili kişilere veri sorumlusunun cevabını iletmek ve veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak görevleri Yönetmelikle veri sorumlusu temsilcisine verilmiştir.

Söz konusu görevleri yerine getirmekte olan veri sorumlusu temsilcilerine ilişkin Kurul tarafından yapılan değerlendirme sonucunda; Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı ve Türkiye’de yerleşik bir gerçek kişi olması, Türkiye’de yerleşik olmayan veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapması, VERBİS’te güncelleme yapması ve veri sorumlusu adına Kurum ve ilgili kişilerle iletişimi sağlaması gerektiğinden hem kişisel verilerin korunması mevzuatı konusunda hem de yurtdışında yerleşik veri sorumlularıyla iletişimi sağlayabilecek düzeyde uzmanlaşmış gerçek veya tüzel kişilerin tespit edilerek veri sorumlusu temsilcisi olarak atamasının zorluğu göz önüne alınarak aynı gerçek veya tüzel kişinin Türkiye’de yerleşik olmayan birden fazla veri sorumlusu tarafından veri sorumlusu temsilcisi olarak atanabilmesine imkân sağlanmıştır.

Bu kapsamda Türkiye’de yerleşik olmayan veri sorumluları adına gerek ilgili kişiler gerekse de Kurumla iletişimi sağlayacak asıl muhatabın veri sorumlusu temsilcisi olması, Türkiye’de yerleşik olmayan veri sorumluları için veri sorumlusu temsilcisi tarafından atanacak irtibat kişilerinin VERBİS işlemlerini gerçekleştirecek kişi olması nedeniyle aynı gerçek kişinin Türkiye’de yerleşik olmayan birden fazla veri sorumlusu için irtibat kişisi olarak atanması Kurul tarafından uygun bulunmuştur.

Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;

Bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına,
Bir gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna
karar verilmiştir.

28.07.2020: “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında”

Karar Tarihi : 22/07/2020
Karar No : 2020/559
Konu Özeti : Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında karar

Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikayeti üzerine yürütülen inceleme sürecinde, veri sorumlusundan alınan savunma yazısında şirketleri tarafından pazarlama amacıyla işlenmesi yönünde rıza alınmış kişisel verilerin veri işleyen konumunda bulunan yurt dışındaki bir firmaya aktarılmasının ve sadece söz konusu hizmetin yerine getirilmesi amacıyla bu firma tarafından işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinin (2) numaralı fıkrasının (f) bendi doğrultusunda “veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında değerlendirildiğinin ifade edilmesine rağmen, aynı savunmada veri sorumlusunun “veri gizliliği metni”nin Şikayetçi tarafından onaylandığı diğer bir ifade ile verilerinin yurtdışına aktarımına rıza verildiğine yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığı tespit edilmiştir. Bu duruma istinaden Kişisel Verileri Koruma Kurulu’nun (Kurul) 08.07.2019 tarihli ve 2019/203 sayılı Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir.

Bu itibarla, 6698 sayılı Kanunun ilgili maddeleri hakkında veri sorumlusuna bilgi verilerek kişisel verilerin yurtdışına aktarılmasının Kanunun 9 uncu maddesindeki hangi hukuki gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların tarafımıza gönderilmesi talep edilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma yazısında ise özetle;

Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılımın kullanıldığı, söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP kullanılarak (Dış Kaynak Firma) aktarıldığı,
Müşterilere ilişkin; (1) müşteri bilgisinin, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisinin ve (3) iletişim bilgisinin, dış kaynak firmaya aktarıldığı, Şirket tarafından yurtdışına herhangi bir özel nitelikli kişisel verinin ise aktarılmadığı,
Kişisel verileri yurtdışındaki dış kaynak firma’ya aktarılan müşterilerden açık rızanın alındığı, söz konusu açık rızanın 2018 yılından itibaren güncellenmiş Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni ile alındığı,
Veri işleyen konumundaki dış kaynak firmaya bu verilerin aktarılmasındaki hukuki gerekçenin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde düzenlenen veri sorumlusu olarak Şirketin meşru menfaati için veri işlemesinin zorunlu olması şartına dayandığı,
6698 sayılı Kanunun 9 uncu maddesinde kişisel verilerin a) ilgili kişinin açık rızası ile ya da b) yeterli korumanın bulunması veya ilgili ülkede yeterli koruma bulunmuyorsa Kurulun izninin alınması suretiyle Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasında belirtilen veri işleme şartlarına dayalı olarak yurtdışına aktarılabileceğinin düzenlendiği, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına Kanunun 9 uncu maddesinin (4) numaralı fıkrasında yer alan hususlar çerçevesinde karar vereceğinin düzenlendiği, ancak Kurul tarafından bir yabancı ülkede yeterli koruma bulunup bulunmadığına henüz karar verilmemiş olduğu, bunun yanı sıra aynı maddenin (5) ve (6) numaralı fıkrasında kişisel verilerin yurtdışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı olduğunun ortaya konulduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”nin (108 sayılı Sözleşme) iç hukuka aktarıldığı, tüm Avrupa Birliği üye devletlerinin 108 sayılı Sözleşmeye taraf olduğu, Türkiye’nin 108 sayılı Sözleşmenin taraflarına ilişkin “… Sözleşme’nin onaylanmasının geçerliliği bulunmayan “Kıbrıs Cumhuriyeti”nin anılan sözleşmeye taraf olan Güney Kıbrıs Rum Yönetimi tarafından temsil edildiği iddiasının herhangi bir biçimde kabulü anlamına gelmeyeceğini ve Türkiye’de sözde Kıbrıs Cumhuriyeti ile işbu Sözleşme kapsamında herhangi bir temasta bulunma yükümlülüğü getirmeyeceğini” beyan ettiği, bu beyan dışında 108 sayılı Sözleşme’nin taraflarına ilişkin Türkiye tarafından herhangi bir beyanda bulunulmadığı; Anayasanın 90 ıncı maddesinin son fıkrası uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği, ayrıca ilgili fıkranın devamı hükmünde usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği dolayısıyla kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu,
108 sayılı Sözleşme’nin 12 nci maddesi uyarınca 108 sayılı Sözleşmenin taraflarına gerçekleştirilecek kişisel veri aktarımlarının (a) ve (b) bentlerinde sıralanan istisnalardan biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmamasının 108 sayılı Sözleşmenin getirdiği açık kurallardan biri olduğu, Türkiye tarafından gerçekleştirilmiş herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişkin herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (1) numaralı fıkrasında sınır aşan kişisel veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılacağının düzenlendiği, bu doğrultuda ilgili maddenin mefhumu muhalifinden taraf olanlara yönelik yeterli koruma değerlendirilmesinin yapılamayacağının anlaşıldığı, ek protokolün 2 nci maddesinin (2) numaralı fıkrasında ise (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı,
Şirketin hukuki gerekçeler (6698 sayılı Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları ile 108 sayılı Sözleşmenin 12 nci maddesi) kapsamında 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak gerekli tüm idari ve teknik tedbirler alınmak suretiyle veri işleyen konumundaki dış kaynak firmaya hukuka uygun olarak veri aktarımının yapıldığı
hususlarına yer verilmiştir. Resen inceleme konusu kapsamında veri sorumlusundan alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Kararında aşağıdaki değerlendirmelere yer verilmiştir.

1. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.

Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Açık rıza alınmasına gerek olmayan hallerden biri de resen incelemeye konu veri sorumlusu tarafından da belirtildiği üzere Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde belirtilen durumdur. Anılan bendin uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmesi gerekmektedir.

Bu minvalde, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin uygulanabilmesi için iki aşamalı bir testin ele alınması gerekir. Yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da, bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir. Ancak, resen incelemeye taraf olan veri sorumlusu tarafından açık rıza dışındaki kişisel veriler açısından yurt dışına aktarımda Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendindeki işleme şartı dayanak gösterilirken meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir açıklamaya yer verilmediğinden, kişisel verilerin veri sorumlusu tarafından yurt dışına aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaati hasıl olmamıştır.

2. Bununla birlikte, 6698 sayılı Kanunun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde tanımına yer verilen “açık rıza”nın özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir. Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.

Veri sorumlusunun, Kurula verdiği savunma yazısında, kişisel verilerin işlenmesinin hukuki sebebinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayandığını belirtmekle birlikte; ilgili kişilere sunduğu aydınlatma ve rıza metninde “… Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir.” şeklinde bir bilgilendirmede bulunduğu dikkate alındığında, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olduğu değerlendirilmiştir.

Bahse konu savunma yazısının devamında ise, yurt dışına veri aktarımının 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak dış kaynak firmaya yapıldığı; pazarlama iletişimlerine izin vermiş kişilere/müşterilere e-posta/sms gönderimi yapılabilmesi için müşteri verilerinin sunucuları Avrupa Birliği üyesi ülkede bulunan bir bulut veri tabanına aktarıldığı ifadelerine yer verildiği görülmüştür. Ancak, aydınlatma metninde ve açık rıza metninde ilgili kişiler tarafından pazarlama amaçlı ileti gönderilmesine rıza verilmesi halinde bu kişisel verilerin yurtdışına bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden yurtdışına veri aktarımının veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen açık rıza dışındaki meşru menfaatleri kapsamında mı yoksa, ilgili kişilerin açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı ya da söz konusu kişisel verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu kanaatine varılmıştır.

3. Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde de kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümleri düzenlenmektedir. Anılan maddenin devamında ise,

“(3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükümlerine yer verilmiştir.

Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi neticesinde, veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşteri verilerini (müşterilere ilişkin; (1) müşteri bilgisi, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisi ve (3) iletişim bilgilerini) sunucuları Avrupa Birliği üyesi bir ülkede bulunan ,bulut veri tabanına aktardığı anlaşılmıştır.

108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin (108 sayılı Sözleşme) “Kişisel Verilerin Sınır Ötesi Akışı ve İç Hukuk” başlıklı 12 nci maddesinde ise;

“(1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

(2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

(3) Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir:

(a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

(b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla” hükümleri yer almaktadır.

Veri sorumlusu Kurula verdiği savunmasında; müşteri bilgilerinin dış firmaya aktarılmasındaki hukuki gerekçenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamındaki “veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması” olduğu, Kanunun 9 uncu maddesindeki gerekçesine ilişkin olarak ise; tüm Avrupa Birliği üye devletlerinin iç hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, Anayasanın 90 ıncı maddesi uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği ve Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği, bu doğrultuda kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu, Kanun hükmünde olan 108 sayılı Sözleşmenin, serbest aktarım ilkelerini benimseyen 12 inci maddesinin (3) numaralı fıkrasının (a) ve (b) bentleri istisnasına dayanılan herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin şu zamana kadar Türkiye tarafından yapılan herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişki herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu, bununla birlikte “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (2) numaralı fıkrasında (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı, Kurul tarafından yeterli koruma sağlayan ülkelere ilişkin somut değerlendirmenin de henüz yapılmamış olduğu, bu minvalde 108 sayılı Sözleşme’nin Taraflarından olan bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımının 108 sayılı Sözleşme ve ilgili Ek Protokol’de belirtilen hukuki gerekçelerle yapıldığı ifade edilmiştir.

Öncelikle, 108 sayılı Sözleşmenin 12 nci maddesinde, Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacaklarını veya özel bir izin öngörmek suretiyle kısıtlayamayacaklarının öngörüldüğünü belirtmek yerinde olacaktır. 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) ikinci fıkrasında, bu düzenlemenin amacının Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı öngörülmektedir. Bahse konu Açıklayıcı Raporda Sözleşmenin 12 nci maddesinin Avrupa Birliği’ndeki (AB) uygulamasına ilişkin olarak ise, AB’nin gerek mülga 95/46/AT sayılı Direktif gerek 27/04/2016 tarih ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul ettiği hususlarına yer verildiğini de belirtmekte fayda görülmektedir.

Bu kapsamda, Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır.

4. Kanunun 9 uncu maddesinin 4 üncü fıkrasının (a) bendinde, Kurulun veri aktarımına izin verip vermeyeceğine ilişkin değerlendirmede ülkemizin taraf olduğu uluslararası sözleşmelerin de dikkate alınacağı hükme bağlanmıştır. Kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olması Kurulun değerlendirmesine esas teşkil edecek unsurlardan sadece bir tanesini oluşturmakta olup bu durum yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02.05.2019 tarihli ve 2019/125 sayılı Kararında da kabul edilen kriterler arasında yer almaktadır. Bununla birlikte anılan maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ve ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumu da Kurulun değerlendirmesinde göz önünde bulundurulan diğer hususlardır.

Bu minvalde, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine dair “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da yer alan açıklama ile Kurulun yurt dışına veri aktarımına izin vermesine ilişkin yapacağı değerlendirmede gerek 108 sayılı Sözleşme gibi ülkemizin taraf olduğu uluslararası sözleşmeleri gerek kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini dikkate alacağına ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme göz önünde bulundurulduğunda 6698 sayılı Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu değerlendirilmektedir.

5. Kanunun 9 uncu maddesinin (6) numaralı fıkrasında ise “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verilmektedir. Bilindiği üzere, Anayasanın 90 ıncı maddesinde yer alan düzenleme uyarınca yürürlüğe konulmuş uluslararası antlaşmaların kanun hükmünde olduğu, bu anlamda 108 sayılı Sözleşmenin de hukukumuzda kanun niteliğini haiz olduğu, Anayasanın 90 ıncı maddesine 5170 sayılı Kanunun 7 nci maddesi ile yapılan ekleme ile temel hak ve özgürlüklere ilişkin uluslararası antlaşmalarla kanunların aynı konuya ilişkin farklı düzenlemeleri öngörmesi halinde uluslararası antlaşma hükümlerinin esas alınacağı öngörülmektedir. Ancak, bu maddenin gerekçesinde “uygulamada usulüne göre yürürlüğe konulmuş insan haklarına ilişkin milletlerarası antlaşmalar ile kanun hükümlerinin çelişmesi halinde ortaya çıkacak bir uyuşmazlığın varlığı halinde hangisine öncelik verileceği konusundaki tereddütlerin giderilmesi amacıyla 90 ıncı maddenin son fıkrasına hüküm eklenmektedir” açıklamasına yer verildiği, bunun uygulanabilmesi için de söz konusu uluslararası antlaşma hükümlerinin doğrudan uygulanabilir olması gerektiği, diğer bir ifadeyle antlaşma hükmünün “yeterince açık, kesin, koşulsuz ve uygulaması için devletin ilave bir tedbir almasını gerektirmeyecek nitelikte” olması gerektiği belirtildiğinden, doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.

108 Sayılı Sözleşmenin 4 üncü maddesinin birinci fıkrası da “her Taraf, kendi iç hukukunda işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alır” hükmünü içermektedir. Diğer bir ifadeyle Sözleşme hükümleri taraf devletlerin iç hukukunda doğrudan hüküm ve sonuç doğurmamakta, ulusal veri koruma düzenlemelerine hakim olması gereken temel ilkeleri ve bu düzenlemeler vasıtasıyla ilgili kişilere sağlanacak güvenceye ilişkin usul ve esasları belirlemektedir. “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da da, Sözleşmenin doğrudan uygulanabilir nitelikte olmadığı ve bu sebeple taraf devletlerin veri koruma hükümlerini iç hukuklarına dahil etmekle yükümlü kılındıkları ifade edilmektedir. Dolayısıyla 108 sayılı Sözleşmenin 12 nci maddesinin ikinci fıkrasında yer alan ve tarafların münhasıran özel hayatın gizliliğinin korunması amacıyla diğer bir taraf ülkeye kişisel veri aktarımını yasaklayamayacağına veya izin koşuluna bağlayamayacağına ilişkin hükmünün doğrudan uygulanabilir nitelikte olmadığı, bu minvalde söz konusu hükmün ne Kanunun 9 uncu maddesinin (6) numaralı fıkrası ne de Anayasanın 90 ıncı maddesinin (5) numaralı fıkrası uyarınca öncelikle uygulama alanı bulamayacağı; diğer taraftan Kanunun 9 uncu maddesinde öngörülen düzenlemenin 108 sayılı Sözleşmenin 12 nci maddesine de aykırılık teşkil etmediği ve bu itibarla her iki düzenlemenin birbirini tamamlayıcı nitelikte olduğu dikkate alındığında, 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini belirtmekte fayda görülmektedir.

Bu itibarla, öncelikle 108 sayılı Sözleşmenin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanunun 9 uncu maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme geleceği, bu minvalde açık rıza alınmasını gerektiren kişisel verilerin yurtdışına veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması; Kanunda belirtilen diğer kişisel veri işleme şartlarına dayanılarak yurtdışına veri aktarımının yapılabilmesi için ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında ve 6 ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı, tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul tarafından izin verilmesi halinde yurt dışına kişisel veri aktarımının gerçekleşebileceğini belirtmek gerekmektedir.

Veri sorumlusunun Kurumumuza verdiği bilgi, belge ve açıklamalardan, ilgili kişilerin pazarlama amacıyla işlenen kişisel verilerini açık rıza kapsamında, bunun dışında kalan kişisel verilerinin ise 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesi kapsamında 108 sayılı sözleşmenin 12 nci maddesine dayanılarak aktarıldığı anlaşılmıştır. Ancak, veri sorumlusu 108 sayılı sözleşme kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurula sunmamıştır. Kurum kayıtlarında da veri sorumlusu tarafından Karar tarihi itibariyle taahhütnameye ilişkin herhangi bir başvuruya rastlanmamıştır.

Sonuç itibariyle, veri sorumlusu tarafından gerek açık rızanın usulüne uygun ayrı bir metin olarak düzenlenmemiş olması gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve anlaşılır şekilde beyan edilmemiş olması; öte yandan açık rıza dışındaki işleme şartlarına bağlı olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname yapılarak Kurulun izni alınmak üzere taahhütnamenin bir örneğinin Kurumumuza iletilmemiş olması sebepleriyle, bahse konu aktarımın Kanunun 9 uncu maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmıştır.

6. Diğer taraftan, Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7 nci maddesinde, “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü yer almaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7 nci maddesinde de Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesine yer verilmektedir.

Bu kapsamda, veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmamış olduğu, açık rıza dışındaki işleme şartlarından ise geçerli bir meşru menfaatin bulunduğuna dair denge testinin yapılmamış olduğu, bununla birlikte yurt dışına aktarımda Kanunun 9 uncu maddesine uygun olarak taahhütname hazırlanmamış ve Kurulun izni alınmak üzere Kurumumuza iletilmemiş olduğu dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından, veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmaması sebebiyle Kanunun 7 nci maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varılmıştır.

7. Öte yandan, bilindiği üzere Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesi, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” konusunda bilgi vermekle yükümlü olduğunu içermektedir. “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de de (Aydınlatma Tebliği) veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiştir.

Resen incelemeye konu olayda, veri sorumlusunun açık rıza alımında 2018 yılından itibaren güncellenmiş Aydınlatma Metni ve Rıza Metnini kullandığı görülmüş olup bahse konu metnin incelenmesi neticesinde;

Aydınlatma metninin Kanunun 10 uncu maddesi ve Aydınlatma Tebliğinde belirtilen detayda düzenlenmediği,
Aydınlatma Tebliği’nin 5 inci maddesinin (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Veri sorumlusunun açık rıza şartına dayalı olarak gerçekleştirilecek veri işleme faaliyetinin, aydınlatma metninin içerisinde ayrı bir başlık altında ancak aydınlatma metni ile birlikte düzenlenmiş olduğu görüldüğünden, söz konusu uygulamanın Tebliğ’in 5 inci maddesine aykırılık oluşturduğu,
Aydınlatma Tebliği’nin 5 inci maddesinin (h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir” hükmüne yer verilmiştir. Veri sorumlusunun düzenlediği aydınlatma metninde ise kişisel verilerin toplanmasının hukuki gerekçesinin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartları olduğu şeklinde genel nitelikte ifadeye yer verildiği ancak bahse konu hukuki gerekçenin Tebliğ’de belirtildiği üzere Kanunun 5 inci ve 6 ncı maddelerindeki işleme şartlarından hangisine dayandığının açıkça belirtilmediği,
Aydınlatma Tebliği’nin anılan maddesinin (j) bendinde; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmüne yer verilmiştir. Veri sorumlusunun aydınlatma metninde ise, kişisel verilerin ticari ileti gönderilmesi için hizmet alınan üçüncü kişilerle paylaşılması amaçlarıyla açık rıza kapsamında işleneceğine yer verilmiş olduğu ancak bahsedilen üçüncü kişinin yurtdışında bulunan … isimli firma olduğundan bahsedilmediği, diğer bir ifadeyle bu verilerin yurt dışına aktarılacağına ilişkin açıklamaya yer verilmediği, kişisel verilerin yurtdışına aktarılmasına ilişkin eksik ve yanıltıcı bilgi verilmesi sebebiyle, ilgili kişinin neye rıza gösterdiği ve rızasının sonuçları hakkında tam bir bilgi sahibi olamadığı,
Aydınlatma Tebliği’nin anılan maddesinin (a) bendinde; “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.”, (f) bendinde ise; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükümlerine yer verilmiştir. Ancak, veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlediği dolayısıyla ilgili kişiye tercihte bulunma seçeneğini sunmadığı
anlaşıldığından veri sorumlusunun Aydınlatma Tebliği’ne uyumda da yeterli dikkat ve özeni göstermediği kanaatine varılmıştır.

Sonuç itibariyle;

1. Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,

2. Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

3. Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına

karar verilmiştir.

28.05.2020: “İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet”

“İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet” ile ilgili Kişisel Verileri Koruma Kurulunun 28/05/2020 Tarihli ve 2020/429 Sayılı Karar Özeti
Karar Tarihi : 28/05/2020
Karar No : 2020/429
Konu Özeti : İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikayet

İlgili kişiden alınan şikayet dilekçesinde özetle;

Kamu görevlisi olarak görev yaptığı ilde kamuya ait bir sosyal tesiste konakladığı; banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibi başlatıldığı; 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tesiste ikamet etmekte olan sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerlerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyi üzerine kayıtlı cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği; konuya ilişkin olarak ayrıca Cumhuriyet Başsavcılığına başvurduğu belirtilerek avukat hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak 01.10.2019 tarih ve 2019/293 sayılı Kurul Kararı ile başlatılan inceleme çerçevesinde avukattan savunma sunması talep edilmiş, veri sorumlusu avukat savunmasında,

İkrar veya kabul anlamına gelmemek kaydı ile; şikayetçinin kişisel e-posta hesabı yerine içerisinde ofise günlük gelen yüzlerce e-postanın bulunduğu e-posta adresine gönderdiğini iddia ettiği başvurunun okunma ihtimalinin olmadığı, konudan Kurumumuzun savunma talepli yazısının tebellüğ edildiği tarihte haberdar olunduğu, bu nedenle 30 günlük yasal sürenin dolmasına karşın cevap alınamadığı iddiasının doğru olmadığı,
İlgili kişinin müvekkil Banka ile imzaladığı bireysel bankacılık hizmetleri sözleşmesine istinaden kredi kullandığı, kredi sözleşmesi kurulurken kimlik, adres, telefon ve maaş bilgilerini rızası ile paylaştığı,
Kullandığı kredinin taksitlerini vadenin dolmasına ve akabindeki ihtara rağmen yerine getirmekten kaçındığı için hakkında takip kararı alındığı; çıkarılan ödeme emrinin adresinde bulunamadığı için Adres Kayıt Sistemindeki adres Mahalle Muhtarlığına; Tebligat Yasasının 21 inci maddesi gereğince tebliğ edildiği, süresinde itiraz olunmadığından takibin kesinleştiği, dosyanın derdest olduğu,
Takibin üzerinden 5 yılı/60 ayı aşkın süre geçmesine ve aleyhindeki yasal takibe rağmen şikayetçinin aldığı krediyi ödemekten kaçınması ve bundan rahatsızlık duymaması; ancak gönderilen borç hatırlatma mesajından rahatsızlık duymasındaki samimiyetin düşündürücü olduğu; ayrıca söz konusu SMS’lerin, ilgili kişinin kendisini telefondan arayarak bizzat bilgi istemesi üzerine rızası ile gönderildiği,
5 yıllık süreçte farklı telefon numaraları üzerinden kendileriyle iletişime geçen ve aradığı değişik hatlar nedeni ile sistemde adına birden fazla bağlantı numarası olan şikayetçinin güncel bilgi talebi sonrasında sistemde kayıtlı numaralarına 27.11.2018 günü SMS gönderilmesini şikayet etmesinin hakkın kötüye kullanılması olduğu, - T.C. kimlik numarasına göre abonelik sorgulaması yapıldığında; beyanın doğruluğunun anlaşılacağı ve şikayetçi adına hayatın olağan akışına aykırı sayıda GSM hattı olduğunun ortaya çıkarılabileceği,
Şikayetçinin dilekçesine yazmakla birlikte alenileştirdiği T.C. kimlik numarasına göre telefon operatörlerinin borç sorgulama sayfasına girildiğinde; adına toplam 16 adet hat olduğunun görüldüğü, hatırlatma mesajının gönderildiği hat ve Cumhuriyet Savcılığında ifade verirken bildirdiği hat dikkate alındığında adına kayıtlı 18 hat bulunduğu,
07.04.2016 tarihli Resmi Gazetede yayımlanmasına ve avukat olmasına karşın ancak hakkında yapılan şikayet üzerine inceleme fırsatı bulduğu 6698 sayılı Kişisel Verilerin Korunması Kanunundan kamuoyunun henüz haberdar olmadığı; toplumda “kişisel veri” ve bunun korunmasına ilişkin bilincin oluşması için ilgililer tarafından yapılması gerekli çalışmaların yeterli olmadığı,
Kamuoyunun, 6698 sayılı Kanunu son yıllarda kanun koyucu tarafından ihdas olunan ve uygulaması artık yerleşen 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 4054 sayılı Rekabetin Korunması Hakkındaki Kanun, 6112 sayılı Radyo ve Televizyonların Kuruluşu Hakkındaki Kanun, 5411 sayılı Bankacılık Kanunu, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu, Enerji Piyasası Düzenlenme Kanunu ve benzeri kanunlar kadar içselleştirmiş olmadığı,
Müeyyideleri oldukça ağır bu Kanuna ilişkin bilgilendirme ve uygulamaların zaman içerisinde Kurum Başkanı ve mensupları tarafından kamuoyuna aktarılacağı muhakkak olsa da; bu sürecin henüz tamamlanmadığının bir vakıa olduğu,
“Kanunu bilmemek mazeret sayılmaz” ilkesi genel bir kural olsa da; hukuk sistemimize tamamen yabancı ve uygulama için geçiş süresi tanınan bu Kanun ve onun uygulayıcısı Kurumun konulara daha toleransla yaklaşması gerektiği, Kuruma ait web sayfasında yayımlanan kararların sayısı ve içeriğinin bu iddiayı doğrulayacak istikamette olduğu,
Nitekim; Kurulun “Veri Sorumluları Siciline Kayıt Yükümlülüğü”ne ilişkin 27.12.2019 tarih ve 2019/387 sayılı süre uzatım kararından; kendi hukuk büroları statüsünde olanların; sicile kayıt zorunluluk süresinin 30.09.2020 tarihine ötelendiği,
Konunun Kurumun görev/inceleme alanından çıktığı, şöyle ki,

6698 sayılı Kişisel Verilerin Korunması Kanununun (3071 sayılı yasaya atıfta bulunan) 15 inci maddesinin (2) numaralı fıkrasındaki “Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikayetler incelemeye alınamaz” şeklindeki düzenlemenin belirttiği üzere 01.11.1984 gün 3071 sayılı yasanın madde 6(b) fıkrası gereğince; yargı mercilerinin görevine giren konularla ilgili dilekçelerin istisna kabul edilerek yasanın kapsamı dışına bırakıldığı,
Şikayet dilekçesinin kapsamından da anlaşılacağı üzere; şikayetçinin aynı konuda aynı gerekçelerle 29.11.2018 tarihinde Cumhuriyet Başsavcılığına başvurarak şikayetçi olması sonucu; Adalet Bakanlığından alınan soruşturma izni ile “özel hayatın gizliliğini ihlal etmek, kişilerin huzur ve sükununu bozmak” suçlarından hakkında 2019/3709 sayılı evrak üzerinden yürütülen soruşturmanın devam ettiği, vaki şikayet üzerine konunun yargıya intikal etmiş olduğu ve soruşturmanın devam ettiği dikkate alındığında konunun kurumun görev/kapsama alanından çıktığı,
Nitekim bu hususun Kurulun 24.12.2018 gün ve 2018/156 sayılı kararında, “… şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine ……” denilmek suretiyle açıkça ifade edildiği,
Bu yüzden dosyanın; konu hakkında karar verilmesine yasal olanak bulunmadığı gerekçesi ile kapatılmasının gerektiği,
USULE İLİŞKİN OLARAK

Başvuru yolunun henüz tüketilmediği,

info@... adresine gönderildiği iddia edilen e-postadan 02.01.2019 tarihinde değil ancak Kurumun savunma talep ettiği yazının tebliğ günü olan 16.12.2019 tarihinde haberdar olunduğundan; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/2 maddesindeki “…. 13. madde uyarınca başvuru yolu tüketilmeden şikayet yoluna başvurulamaz…” hükmü karşısında; bu konu ile ilgili şikayetin cevap verilmediği takdirde 17.01.2020 tarihinden itibaren yapılabileceği ve ilgiliye de 13.01.2020 tarihinde yasal süre içerisinde yanıt verildiği gözetilerek; henüz başvuru yolu tüketilmediği için yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetin süresinde yapılmadığı,

Şikayetçinin 02.01.2019 tarihinde gönderildiğini iddia ettiği e-postanın gönderilme günü ile Kuruma şikayet dilekçesi verdiği 06.02.2019 tarihi arasında 1 ay 4 gün yani 34 günlük sürenin geçtiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/1 maddesindeki “…. Başvuruya cevap verilmemesi hallerinde; ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kurula şikayette bulunabilir ………….” şeklinde düzenleme dikkate alındığında; 30 günlük yasal süre içinde başvuruda bulunmadığı anlaşılan şikayetçinin usulsüz başvurusunun reddine kadar verilmesi gerektiği,
Şikayetin reddedilmiş sayılması gerektiği,

Kurumun; uymak zorunda olduğu varoluş yasasının 15 inci maddesinin (4) numaralı fıkrasındaki “….. şikayet üzerine kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” şeklindeki düzenleme göz önüne alındığında; Şikayet dilekçesinin Kuruma verildiği 06.02.2019 tarihi ile Kurumun inceleme kararı verdiği 01.10.2019 tarihi arasında 7 ay 25 gün geçtiği ve yasal 60 günlük süre içerisinde şikayetçiye cevap verilmediği anlaşıldığından; talebin reddedilmiş sayılması gerektiği,
ESASA İLİŞKİN OLARAK,

Verinin işlenmesinin açık rızaya dayandığı,
Şikayetçi ile Banka arasında sözleşme düzenlenirken şikayetçinin rızasıyla kimlik, adres, telefon ve maaş bilgilerini paylaşmış olduğu ve bunların banka kayıtlarına işlendiği,
Kredi sözleşmesinde öngörülen vadenin dolmasına ve akabinde çekilen ihtara rağmen geri ödemesi gerçekleştirilmeyen gecikmiş borcun tahsili açısından alacaklı bankanın adına vekalet vermesinin ardından icra takibi aşamasına geçildiği,
Kesinleşen icra takibinin ardından tahsilat aşamaları ilerletilirken; geri ödeme yapmayan borçlunun durumunun sorgulandığı ve müvekkil Bankaya olan ve ödenmeyen borç dışında başka dosyaların da olduğu, şikayetçi hakkında çok sayıda icra takibi bulunduğunun tespit edildiği,
İcra İflas Kanununun temel ilkelerinden birisinin, “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” ilkesi olduğu; diğer yandan avukatın müvekkilin çıkarlarını gözetmek zorunda olduğu, bu açıdan bakıldığında mezkur dosyada olduğu gibi “bırakınız krediden kaynaklanan alacağını tahsil etme üstüne bir de durmadan icraya gider yatırarak sürekli masraf yapılmasını olabildiğince engellemek” sorumluluğu altında olduğu,
Bu sorumluluğun yasal dayanağını oluşturan Avukatlık Kanununun 35/A maddesinde; “Avukatlar dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konularla inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebilirler.” hükmünün düzenlendiği,
Metinden de anlaşılacağı üzere; avukatın, müvekkilinin haklarını himaye etmek amacı ile müvekkilinin de rızasını alarak karşı taraf ile iletişime geçebileceği, müvekkil bankanın tarafına sağlıklı iletişim kurma izni ile şikayetçinin borcunu icra takip masrafları ile arttırmaktan ziyade; kendisini Avukatlık Kanununun 35/A maddesi uyarınca uzlaşmaya yani belirli indirimler yaparak borcunu ödemede kolaylık sağlamaya davet etmesinin hukuka uygun olduğu,
Kaldı ki; uzlaşma sağlanmasının alacaklı olan müvekkil bankadan ziyade borçlu şikayetçinin lehine olduğu; zira; borçlu adına kayıtlı tapu ve araçlara haciz şerhi eklenip satış talep edilerek, üzerine kayıtlı tüm mal varlığını satma imkanı kanun nezdinde tarafına verilmişken; bu yola tevessül edilmeyecek kişileri borçları yüzünden daha fazla mağduriyet yaşatmamak adına, hiçbir malın satışı talep edilmeyip iletişim yolu ile borca taksitlendirmeler yaparak tahsilat sağlanmaya çalışıldığı,
Takibin her aşamasında borçlu ile iletişime geçme hak ve imkanının mevcut olduğu; belli bir süre sonra -ki bu dosyada takibin açılmasından 3 yıl yani 36 ay sonra- şikayetçi borçluyu öncelikli olarak telefonla arama ve yanıt verilmediğinden mesaj gönderme sureti ile ilgilisini haberdar etme yönteminin tercih edildiği ve böylelikle İcra İflas Kanunundaki borçlu üzerindeki külfetin gereksiz yere artırılmasını engelleyen amir hükme uygun davranıldığı,
Bu meyanda; genel olarak 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar Kanununun hükümleri çerçevesinde; alacaklı banka ve hukuk bürosu arasında akdedilen vekâlet ilişkisi gereğince alacakların tahsili çalışmalarına devam edildiği; ayrıca Avukatlık Kanununun 35/A maddesindeki yasal yükümlülük dikkate alınarak borçlulara ödemede sağlanacak kolaylıkların ve borcun ödenmemesi halinde karşı karşıya kalınabilecek hukuki risklerin bildirilmesi açısından SMS gönderilmesi yönteminin uygun olacağının düşünüldüğü,
- Devlet memuru olan şikayetçinin; maaş ve diğer sosyal haklarına ve aracına, iş yerine icra dairesi aracılığıyla sürekli haciz talebi gönderilmesinin mi, yoksa uzun aralıklarla telefonundan aranması veya SMS gönderilmesinin mi çıkarına olacağının, hangi durumda kişinin itibar güvenilirliğinin sarsılacağının Kurulun takdirinde olduğu,
Derdest olan dosyada; İcra Müdürlüğü’nün borçlunun verilerini işlemiş olması dikkate alınarak; üstelik arandığında görüşmeyi kabul ederek onaylaması ve bilgi talep etmesi üzerine ödemede sağlanacak kolaylıklar ve ödenmemesi halinde karşılaşabileceği hukuki risklerin SMS ile şikayetçi borçluya bildirildiği,
Şikayetçi borçlunun; banka ile bireysel kredi sözleşmesi imzalanırken veri işlemeye gösterdiği rızanın açık olduğu ve bu anlamda hukuka uygun olduğu,
Ayrıca Kanunun geçiş hükümlerini düzenleyen; Geçici 1 inci maddesinin (3) numaralı fıkrasında yer verilen “Ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu kanuna uygun kabul edilir” şeklindeki hüküm dikkate alındığında bu süre içerisinde aksine beyanda bulunduğunu kanıtlayamayan şikayetçinin rızasının devam ettiğinin kabul edilmesi gerektiği,
Bu bağlamda şikayet hakkının bulunmadığı ve yersiz şikayetin reddine karar verilmesi gerektiği,
Kanunun 5 inci maddesinin 2 numaralı fıkrasının (e) bendi dikkate alındığında; işlenen veri açısından şikayetçi borçlunun açık rızasına da gerek bulunmadığı,
Şikayetçi borçlunun, bu verinin işlenmesine dair Banka ile imzalanan sözleşme sırasında verdiği ve tanınan bir yıllık geçiş süreci içinde de geri almadığı rızasına istinaden, geciktirilen geri ödeme nedeni ile alacağını tahsil etmek isteyen bankanın cebri icrada bulunabilmesi yani sözleşmeden doğan alacak hakkını kullanabilmesi için icra dosyasında borçlunun verilerinin işlenmesinin zorunlu olduğu,
Nitekim bu hususun Kurulun 31.05.2019 tarih ve 2019/159 sayılı kararında, “.... Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı kanunun 186. maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedeniyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına...” denilmek suretiyle açıkça ifade edildiği,
Rıza var kabul edildiğinden şikayetin reddine karar verilmesi gerektiği,
Verilmiş rızaya dayanarak işlenen verinin; 6698 sayılı Kişisel Verilerin Korunması Kanununun çizdiği çerçeve içinde kalınarak kullanılması halinde; hukuka aykırılıktan söz etmenin mümkün olmadığı,
Müvekkil bankanın bireysel kredi sözleşmesinden doğan meşru alacağını tahsil edebilmek amacıyla icra müdürlüğü tarafından işlenmiş veri kullanılarak, şikayetçi-borçluya üstelik kendi talebi ile SMS gönderilmesinin hukuka uygun olduğu,
Hiçbir şekilde ikrar anlamına gelmemek kaydıyla, 27.11.2018 tarihinde borçluya ait olduğu düşünülen hatlara, tek seferde yalnızca bir SMS gönderildiği,
Bu durumun, işlenmiş verinin, yasal ve somut bir alacağı tahsil edebilme amacı ile ölçülü ve sınırlı bir şekilde kullanıldığını yani Kanunda aranan dürüstlük kurallarına uyulduğunu ispatladığı,
Sonuç olarak gönderilen SMS’lerin, meşru temelli, makul sayıda ve ölçülü içerikte olup dürüstlük kuralları gözetilerek iletildikleri anlaşılacağından yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetçinin aradan geçen 5 yıllık sürede farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği,
Ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı,
Şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği,
Bireysel kredi sözleşmesinde şikayetçi borçlu dışında buna kefalet veren biri olmadığından, yani meslektaşlarından veya ağabeyinden borcu hukuken tahsil etme şansı bulunmadığından; adı geçenlere SMS göndermekte (yapılan masrafın dışında) bir çıkarları olmadığı, bu açıdan bakıldığında adı geçenlere kasıtlı olarak SMS gönderildiğini iddia etmenin abesle iştigal olduğu, yegane amaçlarının borçluya ulaşmak ve onu bilgilendirmek olduğu; mesaj atılan iş arkadaşlarının ve ağabeyinin kullandığı cep telefonlarını araştırarak bulma ve SMS gönderme gibi özel bir kasıtla hareket edilmediği,
Yukarıda da açıklandığı üzere, T.C. kimlik numarasına göre abonelik araştırıldığında, hayatın olağan akışına aykırı sayıda GSM hattının adına kayıtlı olduğundan şüphe duyulan şikayetçinin, ofis arkadaşlarına ait hatlardan araması veyahut ekonomik durumu hakkında referans olmaları için meslektaşlarının numaralarını bildirmiş olmasının kuvvetle muhtemel olduğu,
Ayrıca GSM hattının adına kayıtlı kişi dışında, aile fertlerinden bir başkası tarafından kullanılmasına Türkiye’de sıkça rastlandığının gözden kaçırılmaması gerektiği,
Ofislerinde, …Takip Sistemi ve 118 80 bilinmeyen numaralar ile internet üzerinden herkesin kolaylıkla ulaşabildiği kimlik, adres ve telefon bilgileri sorgulayan.... dışında program kullanılmadığı, bu hususta yerinde inceleme yapılmasının da mümkün olduğu,
Kurumumuzun yazısı ekinde gönderilen “Veri Sorumlusu Tanıtım Formu”nun 30.09.2020 tarihine kadar yasal süresi içerisinde doldurularak “Veri Sorumluları Siciline Kayıt Yükümlülüğü”nün yerine getirileceği
belirtilerek, konunun yargıya intikal etmiş olması, usule ilişkin itirazları, Kurul aksi kanaatte ise esasa ilişkin açıklamaları dikkate alınarak yersiz olarak nitelendirdiği şikayetin reddedilmesi talep edilmiştir. Avukatın savunmasında ayrıca, şikayetçinin T.C. kimlik numarasına göre adına kayıtlı cep telefonu aboneliklerinin olanak varsa sorgulanması yoksa iletişim şirketlerine yazı yazılması; bu minvalde 01.11.2018 - 31.12.2018 tarihleri arasında adına kayıtlı hattı arayanlar listesinin de GSM şirketinden getirtilmesi ve yapılacak incelemede değerlendirilmesi Kurumumuzdan talep edilmiştir.

Öte yandan, inceleme süreci devam ederken ilgili kişiden alınan ek beyanda, Kurumumuzun savunma istemesinden sonra şikayet ettiği veri sorumlusu avukat tarafından kendisine iletilen cevapta şahsına ait bir çok numaranın olduğu ve kişisel verilerini içeren mesajların atıldığı numaraların kendisine ait olduğunu düşündüğü ve bu amaçla bilgilendirme amaçlı mesaj attıklarını iddia ettiği, şahsına ait tüm hat dökümlerini abonelik başlangıç ve bitiş tarihleri ile tarafımıza sunduğu, kişisel verilerinin paylaşıldığı tarihte şahsına ait tek bir hattın olduğunun görüleceği; kişisel verilerinin banka ile yapmış olduğu sözleşme kapsamında alenileştirilmiş olduğu açıklamasının doğru olmadığı; mesaj atılan numaraların şahsına ait olduğunu düşündüğünü belirtmiş olmasına rağmen yazısı ekinde sunulan ekran görüntülerinden anlaşılacağı üzere ve Savcılıkta ifade veren iş arkadaşlarına gönderilen mesajlarda o dönem beraber görev yaptığı bir başka iş arkadaşının borç bilgilerinin de paylaşılmış olduğunun görülebileceği, hukuk bürosu çalışanları, söz konusu mesaj atılan numaraların şahsına ait olduğunu düşünüyor ise diğer kişinin borç bilgilerini neden aynı numaralara mesaj gönderdiklerinin sorgulanması gerektiği belirtilmiştir.

Bahse konu şikayet başvurusu ve ek beyanlar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunca alınan 28.05.2020 tarih ve 2020/429 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir.

Şikayete konu olayda, bankaya borcu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen şikayetçinin “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işlemesi gereken avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişinin iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise “veri işleme faaliyeti” olduğu değerlendirilmektedir. Diğer yandan Kanunda, kişisel veriler sınırlı sayma yöntemi ile belirlenmemiş, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirilmiştir. Bu bağlamda, ilgili kişinin ağabeyine ve iş arkadaşlarına gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesajın, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği anlaşılmaktadır.

Usule İlişkin Değerlendirme

Veri sorumlusunun iddiası, ilgili kişinin 02.01.2019 tarihli e-postasından haberdar olunmadığı, şikayetin varlığından Kurumumuzun bilgi belge talebi yazısı ile haberdar olunduğu, bu durumda ilgili kişiye cevap verme süresinin Kurumumuz yazısının tebellüğ tarihinden itibaren başladığı yönündedir. Ancak, Kanunun 13 üncü maddesinin (2) numaralı fıkrası, “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır” hükmünü amir olup, bu hükümde belirtilen 30 günlük sürenin Kurum yazısının tebellüğ tarihinden başlaması mümkün değildir.

Usule ilişkin bir diğer iddia, e-posta tarihinin 02.01.2019, Kurula şikayet tarihinin 06.02.2019 olduğu, bu durumun ise Kanunun 14 üncü maddesinin (1) numaralı fıkrası hükmüne uygun olmadığı yönündedir. Bilindiği üzere, Kanunun “Kurula şikâyet” başlıklı 14 üncü maddesi, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.” hükmünü amirdir. Şikayete konu olayda başvuruya cevap verilmediği için başvurudan itibaren 60 günlük süre kuralı geçerli olacaktır ki, ilgili kişinin Kurumumuza başvurusu, veri sorumlusuna başvuru tarihinden sonra 34 üncü günde yapılmış olup, Kanunda belirlenen 60 günlük yasal süre içerisinde yapılmış bir başvurudur.

Son olarak, veri sorumlusu şikayetin üzerinden uzun zaman geçmiş olduğunu belirtmekte ve Kanunun 15 inci maddesinde yer alan “….. şikayet üzerine Kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” hükmüne dayanarak şikayetin reddedilmiş sayılmasını talep etmektedir. Ancak, Kurumumuzun 03.04.2019 tarih ve 4485 sayılı yazısı ile, konuya ilişkin incelemenin sürdüğü ve sonuçlanmasını müteakip tarafına bilgi verileceği hususu ilgili kişiye tebliğ edilmiş olup, bu bilgilendirmenin yapılması hususunda Kanunun ilgili maddesinde belirtilen süre gözetilmiştir. Ayrıca, dosyaya ilişkin alınan 2019/293 sayılı ilk Kurul Kararı da ilgili kişiye tebliğ edilmiş olup, dosyanın safahat bilgileri ilgili ile paylaşılmıştır.

Bu değerlendirmeler ışığında, veri sorumlusunun usule ilişkin itirazlarının reddedilmesi kanaatine varılmıştır.

Esasa İlişkin Değerlendirme

Kanunun 5 inci maddesi, kişisel verilerin işlenme şartlarını düzenlemekte olup, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu değerlendirilmektedir.

Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerekmektedir. Bu kapsamda ne banka ile ne de avukat ile bağı olan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının işlenmesi ve akabinde şikayetçi ilgili kişiye ait kişisel verilerin bu üçüncü kişilere ifşası Kanunun 5 inci maddesinin (2) numaralı fıkrası hükümleri kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti değildir. Somut olayda Avukat tarafından ilgili kişiye ait borç bilgilerinin ağabeyi ve iş arkadaşlarına kısa mesaj olarak gönderilmesi eylemi bakımından, ilgili kişinin ağabeyinin ve iş arkadaşlarının telefon numarasının hangi surette elde edildiği ve bu telefon numaralarının işlenmesinde Avukatın hangi hukuki gerekçeye dayandığının da değerlendirilmesi gerekmektedir. Avukat tarafından yapılan savunmada, şikayetçinin süreç içerisinde farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği, ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı, şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği şeklindeki açıklamasının, söz konusu üçüncü kişilerin telefon numaralarının avukat tarafından işlenmesi bakımından Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı kanaatine varılmaktadır.

Ayrıca, veri sorumlusunun savunmasında, borçluya ait olduğu düşünülen telefon hatlarına aynı gün, yani 27.11.2018 tarihinde tek seferde yalnızca bir SMS gönderildiği belirtilmektedir. İlgili kişinin iş arkadaşlarının Cumhuriyet Başsavcılığında verdikleri ifadelerde kendilerine 27.11.2018 tarihinde SMS gönderildiği belirtilmekle birlikte, ilgili kişinin ağabeyi tarafından verilen ifadenin ekinde yer alan ekran görüntüsü çıktılarında söz konusu SMS’lerin bu kişiye muhtelif tarihlerde pek çok kez gönderildiği anlaşılmaktadır. Diğer yandan, ilgili kişinin iş arkadaşlarının telefon ekran görüntüsünde, ilgili kişi dışında bir başka şahsın borç bilgilerinin de avukata/hukuk bürosuna ait olduğu anlaşılan numaradan bu kişiler ile paylaşıldığı görülmektedir.

Kanunun 12 nci maddesinde yer alan hüküm gereğince veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.

Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılması Kanun hükümlerine aykırılık teşkil etmekte olup, bu suretle veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.

Öte yandan, veri sorumlusu avukatın savunmasında, ilgili kişinin hayatın olağan akışına aykırı şekilde fazla sayıda telefon hattı aboneliğine sahip olduğu belirtilerek, bu durumun, ilgili kişinin dilekçesine yazmak suretiyle alenileştirdiği T.C. kimlik numarası kullanılarak GSM operatörlerinin borç sorgulama sayfalarından tespit edildiği belirtilmiş ve bu sorgulamalara ilişkin internet sayfası çıktıları da savunmaya eklenmiştir. Öncelikle, veri sorumlusu avukatın görevi gereği edindiği veya ilgili kişinin veri sorumlusu avukata başvurmak amacıyla kendisine bildirmiş olduğu kişisel verilerin alenileştirilmiş veri olduğunu söylemek mümkün değildir. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere, alenileştirmeden söz edilebilmesi için ilgili kişinin alenileştirme iradesinin bulunması ve ayrıca verinin alenileştirme amacı dışında kullanılmaması gerekmektedir. Ancak, avukatın başka bir vesile ile işlediği kişisel verileri kullanarak ilgili kişinin GSM aboneliklerini ve borçlarını sorgulaması bu bağlamda değerlendirilemeyecektir. Diğer yandan, bilindiği üzere, Kanunun genel ilkeler başlıklı 4 üncü maddesinde, kişisel verilerin işlenmesinde uyulması gereken ilkeler düzenlenmiş olup, maddenin (2) numaralı fıkrasında kişisel verilerin işlenmesinde “(c) belirli, açık ve meşru amaçlar için işleme, (ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması gerektiği hükme bağlanmıştır. Veri sorumlusunun icra işlemlerinde kullanmak üzere edindiği veya ilgili kişi tarafından kendisine bildirilen T.C. kimlik numarasını kullanarak GSM hattı sorgulaması yapmak suretiyle ikinci bir hukuka aykırı veri işleme eylemine sebebiyet verdiği değerlendirilmektedir.

Kanuna uyum konusunda genel değerlendirme

Veri sorumlusu avukat tarafından Kurumumuza iletilen savunmada, 6698 sayılı Kanun ve uygulamalarına ilişkin yanlış tespit ve değerlendirmeler olduğu anlaşılmış olup, bu hususta genel bir değerlendirme yapılması gereği hasıl olmuştur.

Kanunun kamuoyu tarafından bilinmediği, içselleştirilmediği şeklindeki açıklamaya karşılık olarak, Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş; geçiş hükümleri Kanunun Geçici 1 inci maddesinde düzenlenmiştir. Geçici 1 inci maddenin (3) numaralı fıkrasında “Kanunun yayımı tarihinden önce işlenmiş kişisel verilerin Kanunun yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirileceği belirtilmek suretiyle uyum için gerekli süre de hüküm altına alınmıştır. Söz konusu iki yıllık geçiş süresinin 7 Nisan 2018 tarihi itibari ile dolduğu dikkate alındığında, içinde bulunduğumuz tarih itibariyle, mesleği gereği mevzuat konularına hakim olması gereken veri sorumlusu avukatın söz konusu açıklamasının kabul edilebilir olmadığı değerlendirilmektedir.

Öte yandan, Kurulca alınan karar sayısının az olduğu değerlendirmesine karşılık olarak, Kurul tarafından alınan her Kararın değil, sadece yayımlanmasına Kurulca karar verilen Kararların, Kanunun 12 nci maddesinin (5) numaralı fıkrası ile yine Kanunun 23 üncü maddesinin (5) numaralı fıkrası hükümlerine istinaden yayımlandığını belirtmekte fayda görülmektedir.

Öte yandan, veri sorumlusu avukat, Kurumun savunma talebi yazısı ekinde matbu olarak tüm veri sorumlularına iletilen Veri Sorumlusu Tanıtım Formunu doldurmamış, savunmasında yasal süre olan 30.09.2020 tarihi itibariyle formun doldurulacağı ve VERBİS’e kayıt yükümlülüğünün yerine getirileceğini belirtmiştir. Bilindiği üzere, Kanunun “Veri Sorumluları Sicili” başlıklı 16 ncı maddesinin (2) numaralı fıkrasında Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği düzenlenmiş olup, söz konusu hükmün verdiği yetki çerçevesinde Kurul tarafından alınan 02.04.2018 tarih ve 2018/32 sayılı Karar uyarınca “19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar” VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu anlamda, veri sorumlusunun bir avukat olduğu dikkate alındığında, avukatlık mesleği dışında bir veri sorumluluğu bulunup bulunmadığı ve VERBİS’e kayıt yükümlülüğü olup olmadığı tarafınca ayrıca değerlendirilmelidir.

Öte yandan, veri sorumlusunun savunmasında, ofislerinde kullandıkları bazı yazılımlardan söz edilmekte olup, bu hususta Kurul tarafından alınan “Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik” 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararının veri sorumlusunca dikkate alınması gerektiği değerlendirilmektedir.

Bu minvalde, veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasının uygun olacağı sonucuna ulaşılmıştır.

Konunun yargıya intikal etmiş olmasına ilişkin değerlendirme

Gerek ilgili kişi tarafından sunulan belgeler gerek veri sorumlusu avukatın savunması ve sunduğu belgeler, konunun ilgili kişi tarafından yargıya intikal ettirilmiş olduğunu göstermektedir. 1136 sayılı Avukatlık Kanununun “Soruşturmaya yetkili Cumhuriyet Savcısı” başlıklı 58 inci maddesinde, “Avukatların avukatlık veya Türkiye Barolar Birliği ya da baroların organlarındaki görevlerinden doğan veya görev sırasında işledikleri suçlardan dolayı haklarında soruşturma, Adalet Bakanlığının vereceği izin üzerine, suçun işlendiği yer Cumhuriyet savcısı tarafından yapılır” hükmü düzenlenmiş olup, avukat hakkındaki işlemin bu hüküm çerçevesinde yürütüldüğü anlaşılmaktadır. Ancak, ilgili Cumhuriyet Başsavcılığı tarafından hazırlanan Adalet Bakanlığı Ceza İşleri Genel Müdürlüğünü muhatap fezlekenin “Netice ve Kanaat” bölümünde avukatın “kişilerin huzur ve sükununu bozma, görevi kötüye kullanma ve özel hayatın gizliliğini ihlal suçlarını işlediği hususunda yeterli şüpheye ulaşıldığı” ifadesi yer almakta olup, avukatın savunması ekinde de görüleceği üzere söz konusu suçlar arasında kişisel verilere ilişkin suçlar bakımından bir değerlendirmeye gidilmemiş olup, bu anlamda şikayete konu eylemde hukuka aykırı bir kişisel veri işleme faaliyeti olduğu değerlendirildiğinden konunun Kurulun görev ve yetki alanında olduğu sonucuna varılmaktadır. Ayrıca, ilgili kişinin ağabeyinin ve kendisiyle aynı yerde ikamet eden iş arkadaşlarının iletişim bilgilerinin kaydedilmesi ve bu kişilere SMS gönderilmesi şeklinde gerçekleşen kişisel veri işleme faaliyeti bakımından konunun yargıya intikal etmediği ve bu hukuka aykırı kişisel veri işleme faaliyetinin de Kurulun yetki ve görev alanında bulunduğu dikkate alındığında söz konusu şikayete ilişkin yapılan inceleme neticesinde Kurul tarafından Kanunda yer alan müeyyidelerin uygulanmasının önünde bir engel olmadığı değerlendirilmektedir.

Sonuç olarak,

Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde;

1. Veri sorumlusunun usule ilişkin itirazlarının yersiz olması nedeniyle reddedilmesine,

2. Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına,

3. Veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına

karar verilmiştir.

23.06.2020: “Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi”

“Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Karar Özeti
Karar Tarihi : 23/06/2020
Karar No : 2020/471
Konu Özeti : Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında

Kurumumuza iletilmiş olan; hizmet verdikleri tüzel kişiler bünyesinde çalışan gerçek kişilere ait kişisel verileri işlemekte olan ve ülkemizde temsilciliği bulunan bir yabancı bankanın, yürüttüğü bu işleme faaliyetleri sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre veri sorumlusu sıfatını haiz olup olmayacağı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün bulunup bulunmadığı hususundaki görüş talebinin Kişisel Verileri Koruma Kurulunca değerlendirilmesi neticesinde verilen kararın özetine aşağıda yer verilmektedir.

Bankacılık Düzenleme ve Denetleme Kurulunun iznine bağlı olarak açılabilen ve Bankacılık Düzenleme ve Denetleme Kurumunun resmi internet sitesinde bir liste halinde yayımlanan yabancı bankaların Türkiye temsilciliklerinde, 01/04/2008 tarihli ve 26834 sayılı Resmi Gazetede yayımlanan Türkiye'de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğin “Yasaklar” başlıklı 9 uncu maddesinin birinci fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına mevduat veya katılım fonu kabul edilememekte, kredi kullandırılamamakta veya 5411 sayılı Bankacılık Kanununun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetleri gerçekleştirilememektedir.

Öte yandan, anılan Tebliğin “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesinde temsilciliklerde bağlı bulunulan banka adına, bankanın ve sunduğu hizmetlerin tanıtımı, Türkiye'de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin güçlendirilmesi, piyasa araştırması yapılması ve toplanan bilgilerin merkeze raporlanması faaliyetlerinin yürütülebileceği düzenlenmiştir.

Görüş talebinde bulunan bankanın, sağladığı finansman hizmetleri kapsamında Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır. Bu kapsamda, mezkûr bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler, bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinden ayrı tutulamayacaktır. Zira, anılan Tebliğin 4 üncü maddesinde de belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde ettiği bilgileri aktarması mümkündür. Bu etkinliklerin, yurt dışında yerleşik bankanın faaliyetlerine katkı yapacağı açıktır. Bu sebeple, temsilciliğin faaliyetlerinin bankanın kişisel veri işleme faaliyetleri ile sıkı bir bağlantı içerisinde olduğunun kabul edilmesi gerekmektedir.

Aynı doğrultuda Avrupa Veri Koruma Kurulunun Genel Veri Koruma Tüzüğünün (GVKT) yer bakımından uygulama kapsamına ilişkin 3/2018 sayılı Kılavuz İlkelerinde de, örneğin üçüncü ülkede yerleşik bir şirketin tanıtım ve piyasa araştırması ile ilgili faaliyette bulunan bir ofisinin Birlik sınırları içerisinde yerleşik olması ve bu ofisin faaliyetlerinin veri sorumlusu sıfatını haiz üçüncü ülkede yerleşik şirketin gelirlerini arttırmasını sağlaması halinde GVKT hükümlerinin yurt dışında yerleşik veri sorumlusunun kişisel veri işleme faaliyetlerine uygulanacağı ifade edilmiştir.

Diğer taraftan, temsilciliği aracılığıyla ülkemizdeki sürekli mevcudiyeti karşısında, bankanın yurtdışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurtdışında gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanunun uygulama alanı bulmayacağının kabulü Kanunun amacıyla bağdaşmayacaktır.

Özellikle kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik olarak Kanunun 16 ncı maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda Sicile kayıt yükümlülüğünün bulunduğu değerlendirilmektedir.

Ayrıca belirtmek gerekir ki, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları hükme bağlanmıştır.

Öte yandan, Kurulun 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararında da “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına (…) karar verilmiştir.” ifadesine yer verilmiştir.

Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;

kişisel verilerin korunmasını isteme hakkının Anayasanın 20 nci maddesinin üçüncü fıkrasında düzenlenmiş bir temel hak ve özgürlük olduğu,
veri koruma düzenlemelerinin yer bakımından uygulama alanının belirlenmesinde, bireylere en üst düzeyde ve en geniş kapsamda korumayı sağlayan bir yaklaşımın benimsenmesi gerektiği,
görüş talebinde bulunan yabancı bankanın temsilciliği vasıtasıyla ülkemizdeki sürekli mevcudiyeti
hususları göz önünde bulundurulduğunda, mezkûr bankanın kişisel veri işleme faaliyetleri açısından 6698 sayılı Kanunun uygulama alanı bulacağına ve bu kapsamda söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt yükümlülüğünün bulunduğuna karar verilmiştir.

07.05.2020: “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması hakkında”

“İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Karar Özeti
Karar Tarihi : 07/05/2020
Karar No : 2020/355
Konu Özeti : İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması hususunda Kuruma intikal eden ihbar başvurusu

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda özetle;

İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği
belirtilmiştir.

İlgili kişiye ait Medula Eczane çıktılarının, dilekçe sahibinin eşinin eczanesinden alınarak kullanılması hakkındaki ihbar başvurusunun incelenmesi neticesinde

İhbara konu olan Medula Sisteminin, Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı,
Medula Eczanenin ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
SGK ile sözleşmeli olan eczanelerin bu sistemi kullanmaya yetkili olduğu, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebildikleri göz önünde bulundurulduğunda eczacıların Medula sistemi kapsamında veri işleme faaliyetinde bulunabildikleri
değerlendirilmiş, Sosyal Güvenlik Kurumu’ndan alınan bilgiler doğrultusunda ise ihbara konu Medula Eczane çıktılarının şikayet sahibinin eşinin eczanesinden alındığı tespit edilmiş olup, Kurulun 07/05/2020 tarihli ve 2020/355 sayılı Kararı ile;

Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,

Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı

Kanunun 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerinin düzenlendiği,

Öte yandan, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı dikkate alınarak;

Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına
karar verilmiştir.

30.04.2020: “Kurumumuza Bir Şahıs Tarafından Vekaleten İntikal Ettirilen Usulen Eksik Nitelikteki Çok Sayıda Başvuru Hakkında”

Kurumumuza Bir Şahıs Tarafından Vekaleten İntikal Ettirilen Usulen Eksik Nitelikteki Çok Sayıda Başvuru Hakkında Kişisel Verileri Koruma Kurulunun 30/04/2020 Tarihli ve 2020/325 Sayılı Karar Özeti
Karar Tarihi : 30/04/2020
Karar No : 2020/325
Konu Özeti : Bir şahıs tarafından Kurumumuza vekaleten intikal ettirilen usulen eksik nitelikteki çok sayıda başvuru hakkında değerlendirme

Kurumumuza bazı ilgili kişiler adına bir şahıs tarafından vekaleten, bazı ilgili kişiler tarafından ise asaleten intikal ettirilen aynı biçim, içerik ve adres bilgisine sahip çok sayıda başvuruda özetle; 01/01/2018 tarihinde çıkarılan Avrupa Uyum Yasaları içerisinde “Otomatik Bilgi Paylaşımı” adı altında 116 ülke ile anlaşmalar yapıldığı ve bu anlaşmalar içinde Türkiye’nin de yer aldığı, bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde açıkça kişisel verilerin ilgili kişilerin açık rızası alınmadan yurtdışına aktarılamayacağının hükme bağlandığı ifade edilerek adına başvuru yapılan kişilerin özel bilgilerinin Avrupa ülkeleri ile paylaşılmasından tedirgin olmalarından ötürü dilekçelerinin dikkate alınması ve ilgili kişilerin emeklilikleri hakkında kendileri ve vekil tayin ettiği kişiler dışında kimseye bilgi verilmemesi talep edilmiştir.

Söz konusu her bir başvuruya cevaben, Kurumumuzca Kanun kapsamında inceleme yapılabilmesi için Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasındaki, “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmü gereği öncelikli olarak veri sorumlusuna başvurulması gerektiği; Kanun’un “Kurula Şikâyet” başlıklı 14’üncü maddesinde ise, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. (2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.” hükümlerine yer verildiği ve bu çerçevede Kanun kapsamındaki taleplerine ilişkin ilgili kişilerin emeklilik hakkındaki kişisel verileri açısından öncelikli olarak veri sorumlusu niteliğini haiz T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı Sosyal Güvenlik Kurumuna başvurmaları gerektiğinin açıklanmasına rağmen, gerek vekaleten gerek iletişim bilgisi olarak vekalet verilen şahsın iş adresi belirtilmek suretiyle diğer gerçek kişilerce imzalı aynı içerikteki usulen eksik nitelikteki başvuruların Kurumumuza gönderilmesine ısrarla devam edilmiştir.

Bu kapsamda, başvurulara cevaben iletilen yazılarımız dikkate alınmaksızın aynı nitelikteki başvuruların Kurumumuza gönderilmesine devam edilmesi sebebiyle vekaleten başvuruda bulunmaya devam eden şahsı muhatap yazımızda, kamu idaresinin yersiz ve boş yere meşgul edilmesine sebebiyet veren ve dilekçe hakkının kötüye kullanılmasını teşkil eden bu nitelikteki yazıların Kurumumuza gönderilmemesi gerektiği, aksi halde yargı yoluna başvurulacağı belirtildiği halde usulü şartlar tamamlanmaksızın aynı nitelikte başvuruların Kurumumuza gönderilmeye devam edildiği görülmüştür.

Anayasamızın “Dilekçe, Bilgi Edinme ve Kamu Denetçisine Başvurma Hakkı” başlıklı 74’üncü maddesinde, “Vatandaşlar ve karşılıklılık esası gözetilmek kaydıyla Türkiye’de ikamet eden yabancılar kendileriyle veya kamu ile ilgili dilek ve şikayetleri hakkında, yetkili makamlara ve Türkiye Büyük Millet Meclisine yazı ile başvurma hakkına sahiptir. Kendileriyle ilgili başvurmaların sonucu gecikmeksizin, dilekçe sahiplerine yazılı olarak bildirilir...” düzenlemesi yer almaktadır. Bu kapsamda, dilekçe hakkının nasıl kullanılacağı 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ile düzenlenmektedir.

Öte yandan, 4271 sayılı Türk Medeni Kanunu’nun “Dürüst Davranma” başlıklı 2’nci maddesi, “Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır. Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz.” hükmünü haizdir. Söz konusu hüküm, bir kamu düzeni kuralı olarak ele alınan ve genel olarak bir hakkın açıkça öngörüldüğü amaç dışında ve başkalarını zarara sokacak şekilde kullanılması olarak açıklanabilecek hakkın kötüye kullanılmasının hukuk düzenince himaye edilmeyeceğini ifade etmektedir. Bu bağlamda, 3071 sayılı Kanun’da öngörülen dilekçe hakkının kullanılma usulü ile 6698 sayılı Kanun’da öngörülen şikayet başvurusu usulünün amacına açıkça aykırı olan ve Kurumumuzun başvuruyu gereği gibi değerlendirmesini engelleyen davranışlar, başvuru hakkının kötüye kullanılması olarak değerlendirilmektedir.

Bu kapsamda, vekaleten yapılan başvurulara cevaben, gerekli usulü şartı taşımaması sebebiyle incelenemeyeceğinin ve başvuruların öncelikle Sosyal Güvenlik Kurumuna yapılması gerektiği hususunun Kurumumuzca pek çok defa bildirilmesine rağmen, hala ilgili kişiler adına vekaleten başvuruda bulunulmasının, bu başvurular neticesinde vekili olunan kişiler lehine bir durum yaratıyormuş gibi gözükmek suretiyle ilgili kişilerden vekalet sözleşmesi adı altında haksız kazanç sağlanabileceği ve bu durumun da Türk Ceza Kanunu kapsamında suç teşkil edebileceği ve vekaleten başvuruda bulunan şahsın Kurumumuza başvurularını yönlendirmeye devam ettiği hususu göz önüne alınarak; Kurulun 30/04/2020 tarih ve 2020/325 sayılı Kararı ile;

Bugüne kadar Kuruma intikal eden ve Karar tarihi itibariyle cevap verilmemiş vekaleten gönderilen başvurular ve aynı adres üzerinden gelen muhtelif kişilere ait başvurular ile bundan sonra Kuruma intikal edecek bu içerikle benzer nitelikteki diğer başvuruların değerlendirmeye alınmamasına ve konunun vekalet eden kişi açısından ilgili Kurumlara bildirilmesine

karar verilmiştir.

05.05.2020: “Bir bankanın veri ihlal bildirimi hakkında”
Karar Tarihi : 05/05/2020
Karar No : 2020/344
Konu Özeti : Bir bankanın veri ihlali hakkında Karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bankanın Uyum ve İç Kontrol Grubu tarafından düzenli gerçekleştirilen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği,
  • Bu işlemlerin detaylı incelenmesi talebiyle konunun Teftiş Kurulu Başkanlığına ihbar edildiği,
  • Teftiş Kurulu soruşturması sonucunda; Bireysel Müşteri ilişkileri Yöneticisi, Bireysel Müşteri İlişkileri Yönetici Yardımcısı, İşletme Müşteri İlişkileri Yönetici Yardımcısı unvanlarında çalışan ve olaya sebep olan 3 personelin görev ve iş tanımları gereği KKB sorgulama ekranına yetkileri bulunduğu, ancak söz konusu 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı,
  • Banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği,
  • 3 personelin söz konusu sorgulamalara konu olan kişilerin TCKN’lerini şahsi telefonları üzerinden üçüncü kişi/kişilerden temin ettikleri, personelin söz konusu verileri bankanın sistemlerini kullanarak aktardığına ilişkin bir bulgu olmadığı ancak şahsi telefonları üzerinden elektronik haberleşme programları kullanarak Banka dışına aktarmış olabileceği

ifadelerine yer verildiğinden hareketle yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Kararı ile;

  • İhlalden 25.288 kişinin etkilendiği, etkilenen kişilerden 17.582’sinin Banka müşterisi olduğu, 7.706 kişinin Banka müşterisi olmadığı dikkate alındığında özellikle Banka müşterisi olmayan kişilere ait KKB sorgulamaları için Banka tarafından zamanında gerekli teknik ve idari tedbirlerin almadığının değerlendirildiği,
  • Kişisel Veri Güvenliği Rehberinde teknik tedbirler arasında yer alan “Kişisel Veri Güvenliğinin Takibi” başlığı altında belirtilen hususların aksine, Bankanın şubelerinden birinde ihlale sebep olan personelin ihlal fiillerinin 10.07.2017 tarihinde başlamasına rağmen; bu ihlal fiilinin 08.07.2019 tarihinde tespit edildiği; benzer şekilde Bankanın başka bir şubesindeki ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay gibi oldukça uzun bir süre bulunduğu, bu durumun kişisel veri güvenliği takibi noktasında veri sorumlusu tarafından güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmediğinin göstergesi olduğu,
  • Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen, veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği, ancak bunun veri sorumlusu tarafından sağlanmadığının görüldüğü,
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu,
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu

dikkate alınarak, Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL idari para cezası uygulanmasına

karar verilmiştir.

16.04.2020: "Bir oyun şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 16/04/2020
Karar No : 2020/286
Konu Özeti : Bir oyun şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Oyun şirketinin oyuncu verilerine yasal olmayan yollarla hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği,
  • Hackerların, şirketin bulut sistemlerine, belirli olmayan kaynaklardan temin ettikleri kimlik bilgileri kullanarak erişmiş olduğu,
  • Hackerların, oyuncu verilerine erişim sağladıklarının log kayıtlarından tespit edildiği, bu yetkisiz erişimin tespit edilmesinden sonra sistemde oyuncu giriş bilgilerinin değiştirildiği,
  • Türkiye’de ihlalden etkilenen kişi sayısının 39,995 olduğu,
  • İhlalden etkilenen kişi kategorilerinin kullanıcılar olduğu,
  • Etkilenen kişisel verilerin, isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı da dâhil, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu,
  • Belirtilen verilerin tamamının olayın kapsamına her aşamada dahil olmadığı, örneğin, Türkiye’de yerleşik 39.995 kişi içerisinden 1.527 kişinin telefon numaralarına ve 51 kişinin doğum tarihine erişim sağlandığının düşünüldüğü,
  • Türkiye’de yerleşik kişilere e-posta yoluyla bildirimde bulunulduğu, ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı ile;

  • Türkiye’de ihlalden etkilenen kişi sayısının 39.995 olduğu,
  • Etkilenen kişisel verilerin, isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı da dâhil, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu,
  • Bir bulut sistemi bulunan veritabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin yetersiz olmasının ve gerekli önlemlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (güvenlik ajanının ağ sistemine konuşlandırılması, kötü niyetli IP adreslerinin sistemden engellenmesi, oyuncu hesaplarının yetkisiz erişimlerden korunması için gerekli önlemlerin alınması, hackerlar tarafından kullanılan mekanizmaların ve IP’lerin gözlenmesi için 7x24 gerçek zamanlı gözetleme sistemini de içeren, geliştirilmiş gözetleme ve alarm sistemlerinin faaliyete geçirilmesi) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

hususları dikkate alındığında,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL

olmak üzere toplam 1.100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

03.03.2020: "Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğinin ihbar edilmesine ilişkin"
Karar Tarihi : 03/03/2020
Karar No : 2020/191, 2020/192, 2020/193, 2020/194
Veri Sorumlusu : Muhtelif faktoring şirketleri
Konu Özeti : Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında

 

Kuruma intikal eden ihbarda özetle; sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamaların kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Konu hakkında başlatılan inceleme çerçevesinde;

  • 5411 sayılı Bankacılık Kanununun “Risk Merkezi” başlıklı Ek 1 inci maddesinde;

(1) Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.

(2) Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir.

(…)

(4) Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin onay vermesi koşuluyla, Risk Merkezi ile bilgi alış-verişi sözleşmesi imzalayan özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarına kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarına verilecek, müşterilerin bu kuruluşlar nezdindeki risk bilgileri Kanunun 73 üncü maddesinin dördüncü fıkrası kapsamında değerlendirilir.

(…)

(9) Risk Merkezinin bütün işlem ve kayıtları gizlidir. Sır sahibinin bilgilerinin açıklanması konusunda açık rızasının bulunması durumunda belirlediği kişiye risk bilgileri verilir. Kişinin rızasına dayanan bilgilerin verilmesine ilişkin usul ve esaslar, Kurulun ve Merkez Bankasının uygun görüşü, Türkiye Katılım Bankaları Birliğinin ve Kurulun belirleyeceği kurum ve kuruluşların görüşü alınarak Türkiye Bankalar Birliğince belirlenir ve Resmi Gazetede yayımlanır.

(10) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159 uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.

(11) Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.

hükmüne yer verilmiş, bu çerçevede, Risk Merkezi tanımlanarak anılan merkezde yapılacak işlemler, sır saklama yükümlülüğü ve gizlilik gibi hususlara ilişkin ayrıntılar ilgili madde kapsamında düzenlenmiştir.

5411 sayılı Kanun’un 159 uncu maddesi ise sırların açıklanmasına ilişkin düzenlemeleri içermektedir. İlgili hüküm kapsamında;

(1)Bu Kanunun 73 üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır.

(2) Yukarıdaki fıkrada belirtilen kimseler sırları kendileri ya da başkaları için yarar sağlamak amacıyla açıklamış olursa verilecek cezalar altıda bir oranında artırılır. Ayrıca, fiilin önemine göre sorumluların bu Kanun kapsamına giren kuruluşlarda görev yapmaları, iki yıldan aşağı olmamak üzere geçici veya sürekli olarak yasaklanır.

denilmek suretiyle anılan kanuna aykırı olarak sırları ifşa edenler hakkında ağır yaptırımlar öngörülmüş olup; sırların kendileri ya da başkaları için yarar sağlamak amacıyla açıklanmış olması durumunda da cezaların altıda bir oranında artırılacağı vurgulanmıştır.

Benzer şekilde, 5411 sayılı Kanunun 73 üncü maddesi sır yükümlülüğünü düzenlemektedir. “Sırların saklanması” başlıklı 73 üncü madde;

“ (1) Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

(…)

(3) Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (…)

(4) Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.

hükmünü amirdir. Anılan maddenin dördüncü fıkrasında yer alan hüküm ile sır saklama yükümlülüğünün istisna olduğu durumlar, “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” söz konusu olmaktadır. Yani, amacı dışında işlenecek her türlü veri, istisna kapsamı dışında değerlendirilecektir. Nitekim söz konusu ihbara konu olan eylemlerde de ihlale sebebiyet verdiği iddia olunan kişiler, belirtilen amaçlar ile sınırlı kalmaksızın birçok gerçek ve tüzel kişiye ilişkin verilere erişmiş; üstelik bazıları bu verileri de yetkisiz üçüncü kişilere aktarmışlardır. Anılan sebeplerle, söz konusu eylemlerin 5411 sayılı Kanunu da ihlal ettiği değerlendirilmektedir.

  • Benzer şekilde, Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği (Risk Merkezi Yönetmeliği), TBB Risk Merkezinin kuruluşuna, faaliyetine ve çalışmasına, Türkiye Bankalar Birliği Risk Merkezi yönetiminin oluşumuna, toplanmasına ve karar almasına, Türkiye Bankalar Birliği Risk Merkezine verilen bilgilerin kapsam, biçim ve içeriğine ve bunların paylaşılmasına, paylaşılacak bilgilerin kapsam ve içeriğine, ücretlendirilmesine ve üyelerce ödenecek aidatların belirlenmesine ilişkin usul ve esasları düzenlemektedir. Risk Merkezi Yönetmeliği’nin “Tanımlar” başlıklı 3 üncü maddesinin birinci fıkrasının (j) bendi uyarınca üye; “kredi kuruluşları ile Türkiye Bankalar Birliği Risk Merkezine Kurul tarafından üye olması uygun görülen her bir finansal kuruluş” olarak tanımlanmıştır. Bu kapsamda, ihbara konu olan faktoring şirketlerinin her biri üye niteliğini haizdir. Yine, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyeler, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamak ile sorumlu tutulmuştur. Ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca;

(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz.

(2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır.

hükmü düzenlenmiştir. Bu doğrultuda, Risk Merkezi’nde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanunun 159 uncu maddesinde öngörülen yaptırımların uygulanacağı belirtilmiştir.

Ayrıca, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usuller düzenlemektedir. Diğer bir ifade ile, Risk Merkezindeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususları da ayrı bir yönetmelik kapsamında düzenlenmektedir.

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Kanundaki düzenlemede yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkeleri ile 5411 sayılı Kanunun 73 üncü maddesinin dördüncü fıkrasında yer verilen “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” şartı benzerlik göstermektedir. Dolayısıyla, somut olay değerlendirilirken anılan kişisel verilerin işlenmesine ilişkin ilkeler özellikle önem teşkil edecektir.
  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili kişi; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Buna göre, ihbara konu olan faktoring şirketleri veri sorumlusu niteliğini haiz olup ihlal iddiasına konu eylemler bakımından şirket çalışanı kişisel veri işleme faaliyetinde bulunmuştur. Bu veri işleme faaliyetinin de yetki sınırını aşmak suretiyle hukuka aykırı bir şekilde gerçekleştiği değerlendirilmektedir.
  • Kanunun 12 nci maddesinin beşinci fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Ayrıca, Kurumumuz resmi internet sitesinde yayımlanan 24.01.2019 tarih ve 2019/10 sayılı Kurul kararıyla “en kısa sürede” ibaresinin “72 saat” olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verilmiştir.

Bu itibarla;

Risk Merkezi üzerinden yapılan sorgu adetlerinde dikkat çekici değişiklik gözlenen Faktoring Şirketleri hakkında Kurulumuza yapılan ihbarın incelenmesi neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak; Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/191, 2020/192, 2020/193, 2020/194 kararları ile söz konusu 4 şirket hakkında

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 950.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca ihlale ilişkin Kuruma ve ilgili kişilere bildirim yapılmadığı gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 450.000 TL

idari para cezası uygulanmasına karar verilmiştir.

12.03.2020: "Bir internet servis sağlayıcısının veri ihlal bildirimi hakkında"
Karar Tarihi : 12/03/2020
Karar No : 2020/213
Konu Özeti : Bir internet servis sağlayıcısının veri ihlali hakkında Karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabildikleri bir Online İşlem Merkezi bulunduğu,
  • Şirketin fatura ödeme sisteminde online (çevrimiçi) işlemlerde fatura ödemesi yapılamadığı ve sorunun Şirkete müşteriler tarafından bildirildiği,
  • Müşterinin ödeme yaptığı sırada ekranda “fatura seçilmesi gerektiği” uyarısı belirdiği,
  • Sorun giderilmek üzere çalışma yapılırken bir güvenlik açığının ortaya çıktığı,
  • Güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği,
  • İhlalin kök nedeninin uygulamaya bilgi kaydı (log) üreten özelliklerin eklenerek “debug” ile düzeltilmesi girişiminin olduğu,
  • 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiğinin tespit edildiği,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12.03.2020 tarih ve 2020/213 sayılı Kararı ile;

  • Yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu,
  • Test süreçlerinin yetersizliği veri sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu,
  • Sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu,
  • Veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu 

dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.

27.02.2020: "Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili"
Karar Tarihi : 27/02/2020
Karar No : 2020/173
Veri Sorumlusu : Amazon Turkey Perakende Hizmetleri Limited Şirketi
Konu Özeti : Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru

 

Kurumumuza intikal eden bir ihbar dilekçesinde ve eklerinde özetle;

  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan www.amazon.com.tr üzerinden yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygun olması gerektiği; ancak ilgili site üzerinden yürütülen faaliyetler ile mevzuatın ihlal edildiği,
  • Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,
  • Sitenin “Kullanım ve Satış Şartları” sayfasının girişinde “Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri ("Amazon"), Amazon.com.tr' yi (internet sayfası) ziyaret ettiğinizde veya burada alışveriş yaptığınızda, Amazon ürünlerini veya hizmetlerini kullandığınızda, mobil Amazon uygulamalarını kullandığınızda veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetleri kullandığınızda (toplu olarak "Amazon Hizmetleri") size internet sayfası özellikleri ve diğer ürünler ve hizmetler sunmaktadır. Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin.” ifadesine yer verildiği,
  • Elektronik İletişimler başlıklı birinci maddede “Herhangi bir Amazon Hizmeti'ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” ifadesinin kullanıldığı,
  • Bu ifadeler birlikte değerlendirildiğinde, amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü,
  • Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin 6698 sayılı Kanunun 5’inci maddesinin 2’inci fıkrasında yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği,
  • Alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği, nitekim Kişisel Verileri Koruma Kurumu (Kurum) internet sitesinde yer verilen karar özetleri bölümünde, “Açık rızanın Hizmet Şartına Bağlanması” başlığı altında hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağının belirtildiği,
  • amazon.com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı,
  • Yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından 6698 sayılı Kanunun 9’uncu maddesinin ihlal edilmiş olacağı, bunun da Kurulca yapılacak inceleme ile ortaya çıkarılabileceği

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmektedir.

Söz konusu başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/140 sayılı Kararı ile resen inceleme başlatılmasına karar verilmiş olup, Kurumumuz tarafından 27.06.2019 tarihli dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen veri sorumlusundan söz konusu iddialar karşısındaki savunması ve savunmasına esas bilgi ve belgeler istenilmiştir.

Veri sorumlusundan 17.07.2019 tarihinde alınan yazıda ise özetle;

  • Hukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddiaların dayanaktan yoksun olduğu, herhangi bir kanıtlayıcı belgeye dayanmadığı ve başvuranın söz konusu taleplerini Ticaret Bakanlığına iletmesi gerektiği,
  • Kurulun ticari elektronik iletiler gibi ilke kararlarını ve Kurulun bu alandaki yetkisini kabul etmek ve saygı göstermekle birlikte, konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğu, ihbar edenin bu mevzuat kapsamındaki şikayet mekanizmasını kullanmak yerine şikayetini varsayımsal tahminlere dayandırarak Kurumumuza iletmiş olduğu,
  • Amazon Turkey’in, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla “Kullanım Koşulları” ve “Gizlilik Bildirimi” metinlerini sunduğu,
  • Yalnız hesap oluşturulmasından sonra kayıtlı müşterilerle Amazon ürün ve hizmetlerine ilişkin elektronik iletişim kurulduğu; Amazon hesabı oluşturulduğunda ilgili müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”ni de kabul ettiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.”),
  • Amazon Turkey’in ayrıca kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkan sağladığı,
  • Kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/aktarılabileceğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu,
  • Amazon Turkey’in yurt dışına veri aktarım taahhütnameleri ile ilgili yazışmaların Kurumumuzla sürdürülmekte olduğu,
  • Yukarıda yer alan açıklamalar ışığında Amazon Turkey’in kişisel verileri yurtdışına hukuka aykırı aktardığı, e-ticaret mevzuatına aykırı hareket ettiği iddialarının asılsız olduğu ve varsayımlara dayandığı

ifade edilerek, ihbarın dayanaktan yoksun olması nedeniyle reddedilmesi gerektiği belirtilmiştir.

Öte yandan, konuya ilişkin olarak Kurumumuza ihbarda bulunan şahsın Ticaret Bakanlığı’na yapmış olduğu Amazon.com.tr uygulamalarının elektronik ticaret ve kişisel verilerin korunması mevzuatı hükümlerine aykırılık teşkil ettiği yönündeki başvurusu Bakanlığın 17.04.2019 tarihli 43541135 sayılı yazısı ile “konunun KVKK çerçevesinde değerlendirilmesi” talebiyle Kurumumuza iletilmiştir.

Kurumumuza intikal eden ihbar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde aşağıda başlıklar halinde değerlendirilmiştir.

  1. 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemezMaddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 5’inci maddesinin (1)’nci fıkrası hükmü gereğince hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir. Bu madde kapsamında alınacak onayın ise yine Yönetmeliğin 7’inci maddesinin (1)’inci fıkrası hükmü gereğince yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilmesi öngörülmüştür. Onayda ise alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır. Yine bu doğrultuda Yönetmeliğin 12’inci maddesinin (2)’nci fıkrası gereğince kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesi Kişisel Verileri Koruma Kurulunun 16.10.2018 tarih ve 2018/119 sayılı İlke Kararında da düzenlenerek belirtilen şekilde faaliyette bulunan veri sorumluları hakkında Kanunun 18’inci maddesi kapsamında işlem tesis edileceği hususu belirtilmiştir.

Veri Sorumlusunun iddiası, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında şikayet mekanizmasının Ticaret Bakanlığının sorumluluğunda olduğu, şikayet başvurusunda bulunabilmek için gerekli hususların Kurumumuza intikal ettirilen başvuruda yer almadığı ve bu konudaki sorumluluğun da Kurumumuzda olmadığı yönündedir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin amacı, 1’inci maddede, “elektronik iletişim araçlarıyla yapılan ticari iletişime dair bilgi verme yükümlülüklerine ve ticari elektronik iletilerde uyulması gereken hususlara ilişkin usul ve esasları düzenlemek” olarak belirlenmiş olup, yönetmeliğin tanımlar başlıklı 4’üncü maddesinde ticari elektronik ileti, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır.

Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir. Bu bağlamda, Kurulun konuya ilişkin almış olduğu ilke kararı, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karardır.

Somut olayda, veri sorumlusu hakkında Kurumumuza ihbarda bulunan şahıs tarafından Kurumumuzun yanı sıra Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurumumuza intikal ettirmiş olup, bu durumun, söz konusu başvurunun kişisel verilerin korunması düzenlemeleri bağlamında ele alınması gerekliliğini ortaya koyduğu değerlendirilmektedir.

Diğer yandan, Kurumumuz tarafından veri sorumlusu şirkete yönelik başlatılan inceleme, Kurumumuza intikal eden ihbarın değerlendirilmesini müteakip, Kanunun 15’inci maddesinin 1 numaralı fıkrasında verilen yetki çerçevesinde Kurulun resen başlatmış olduğu bir incelemedir.

Tarafımızca yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.

Kanunun Tanımlar başlıklı 3’üncü maddesinin 1 numaralı fıkrasının (a) bendinde açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmıştır. Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.

Veri sorumlusunca Gizlilik Bildiriminde yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddiası yer almaktadır. Ancak, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği tarafımızca yapılan incelemede tespit edilmiştir. Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Bilindiği üzere açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.

Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.

  1. Yine Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunludur.

Veri sorumlusu, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Kurumumuzun internet sayfasında da yayımlanan kararıda sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmektedir.

Amazon.com.tr’nin topladığını beyan ettiği veriler ise şunlardır: “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları.” İlgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini de taşımaktadır. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmektedir.

  1. Kanunun 8 inci maddesinde (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.

Veri sorumlusunun “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diğer kanunlarda öngörülen hallerde yapılan işlemeler), bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacaktır. Öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez. Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmektedir. Açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusudur. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır.

  1. Kanunun 9’uncu maddesi, “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.

Yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir.

Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği değerlendirilmektedir. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.

  1. Kanunun 10’uncu maddesinde yer alan hüküm gereğince, “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci bendinin f fıkrasına göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Veri sorumlusunun internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri ("Amazon"), Amazon.com.tr (internet sayfası) ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak "Amazon Hizmetleri") ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.

Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Bu durumda sitede gerekli metinlere yer verildiği savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmak mümkün değildir. Siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.

www.amazon.com.tr’ye ilişkin yürütülen resen inceleme neticesinde yukarıda yer verilen değerlendirmeler sonucunda

  • Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
  • Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
  • Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği

dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

  • Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına,
  • Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına

karar verilmiştir.

27.02.2020: "Spor salonu hizmeti sunan veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili"
Karar Tarihi : 27/02/2020
Karar No : 2020/167
Konu Özeti : Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun Kararı

 

Spor salonu hizmeti sunan şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen şikâyetin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/167 sayılı Kararı ile;

  • 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiş olup, bu itibarla;

  • Spor kulübüne giriş ve çıkışların kontrolü amacıyla getirilen avuç içi izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılmasının, biyometrik veri kapsamında değerlendirilmeyeceği ve bu sistemin yanı sıra dileyen üyelerin kart göstermek suretiyle tesisten faydalandıkları iddia edilse de avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varılması nedeniyle Şirketin söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği sonucuna varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 225.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin durdurulması hususunda veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin veri sorumlusuna bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu silme işlemine ilişkin tevsik edici bilgi ve belgelerin Kurumumuza iletilmesi hususunda Şirketin talimatlandırılmasına,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerinin de hatırlatılması suretiyle veri sorumlusunun Aydınlatma Metninin usulüne uygun olarak güncellenmesi hususunda talimatlandırılmasına

karar verilmiştir.

06.02.2020: “Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında”
Karar Tarihi : 06/02/2020
Karar No : 2020/103
Konu Özeti :Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak Kurula yapılan başvuru hakkında

 

İlgili kişinin 2018 yılı sonunda bir Banka şubesinde mevduat hesabı açtırmak istediğinde aynı Bankanın başka bir ildeki şubesinde Ocak 2016’da açılan bir ticari hesabının olduğu, anne kızlık soyadı dahil tüm kimlik bilgilerinin bahsi geçen Banka şubesindeki hesapta görüldüğü bilgisini edinmesi karşısında, adına hesap açılan şubenin bulunduğu yere daha önce hiç gitmemiş olması ve yine hiç ticari faaliyet yürütmemesine rağmen Banka nezdinde kişisel verilerinin hukuka aykırı olarak işlenmesi suretiyle adına hesap açılması hakkında Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun Bankadan alınan bilgi ve belgelerle birlikte incelenmesi neticesinde:

Veri sorumlusu Bankanın, potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelemeyeceğinden ilgili kişinin müşteri numarasının da aktif bir hesap haline gelmediği beyanı karşısında;

Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07/04/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlükte olmamakla birlikte, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan açık rıza şartı yerine getirilmeksizin ve (2) numaralı fıkrada sayılan hallerden biri mevcut olmaksızın gerçekleştirilmiş olması sebebiyle Bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasına aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle veri sorumlusu Bankanın Kanunun 4 üncü maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği,

hususları dikkate alınarak; anılan Bankanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (b) bendi kapsamında 210.000 TL idari para cezası uygulanmasına

karar verilmiştir.

06.02.2020: “Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili”
Karar Tarihi : 06/02/2020
Karar No : 2020/86
Konu Özeti :Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

 

İlgili kişinin “….com” internet adresi üzerinden hizmet veren bir uçak bileti satış firması olan veri sorumlusunun sistemlerinde ….@outlook.com şeklinde kayıtlı olan üyelik e-posta adresinin …@gmail.com olarak güncellenmesini talep ettiği; ancak söz konusu talebinin, üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçe gösterilerek reddedilmesi nedeniyle Kurumumuza yaptığı Eylül 2018 tarihli başvuru ile ilgili yürütülen incelemede veri sorumlusu tarafından Kurumumuza iletilen savunma yazısında, ilgili kişinin başvurusunun, esasen sisteminde kayıtlı olmayan bir e-posta adresinden gönderildiği ve bu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olması sebebiyle reddedildiği açıklamasında bulunulmuş olup, bu kapsamda ilgili kişinin başvurusunun veri sorumlusunun cevabı ile birlikte değerlendirilmesi neticesinde 01/03/2019 tarih ve 2019/48 sayılı Kişisel Verileri Koruma Kurulu Kararı ile

  • Mevzuatla belirlenen usule uygun olmayan başvurusu nedeniyle kişinin kimliğinin tanımlanamadığı noktasından hareketle, ilgili kişinin talebini reddeden veri sorumlusunun bu eylemine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında yapılacak bir işlem bulunmadığına,
  • Bununla birlikte, veri sorumlusu tarafından ilgili kişinin başvurusunun Kuruma yapılan açıklamada olduğu gibi sistemlerinde kayıtlı olmayan bir e-posta adresi üzerinden yapılması nedeniyle kişinin kimliğinin belirlenemediği gerekçesiyle değil üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı gerekçesiyle reddedilmesi karşısında veri sorumlusunun, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılan bir başvuruyu dürüstlük kuralına uygun olarak sonuçlandırmadığı dikkate alınarak, bundan böyle Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına

karar verilmiş olup, bu karar ilgili kişiye ve veri sorumlusuna tebliğ edilmiştir.

Müteakiben, ilgili kişinin aynı veri sorumlusu hakkındaki ikinci şikayet başvurusunda özetle,

  • İlgili kişinin 12.04.2019 tarihinde KEP hesabını kullanarak veri sorumlusunun KEP adresi olan “…@....kep.tr” adresine e-posta göndererek sistemlerinde kayıtlı “…@outlook.com” adresinin “…@gmail.com” olarak güncellenmesini talep ettiği,
  • Kayıtlı elektronik posta aracılığıyla gönderilen e-postanın aynı gün içerisinde veri sorumlusu tarafından okunduğu ancak 30 gün içerisinde ilgili kişiye veri sorumlusu tarafından cevap verilmediği

belirtilerek, 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında özetle;

  • “…@gmail.com” adlı e-posta adresinden müvekkili firmaya bir e-posta gönderilerek bu e-postada sisteme kayıtlı bir kullanıcı olan ilgili kişinin bir takım kişisel verisini yazarak sistemdeki e-posta adresinin güncellenmesini talep ettiği,
  • İlgili kişinin, veri sorumlusuna ilk başvurusunun, veri sorumlusunun sisteminde kayıtlı olmayan bir e-posta adresinden gönderilen ve kayıtlı bir kullanıcının hesap yönetimini talep eden bir e-posta olduğundan şikayete konu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olduğunu, bu sebeple söz konusu e-posta adresi değişikliği talebinin işleme alınmadığı,
  • Daha sonra ilgili kişinin KEP adresi yoluyla 12.04.2019 tarihinde veri sorumlusuna tekrar başvuruda bulunduğu ancak yoğunluk sebebi ile başvurunun bir süre sonra gözden kaçtığı, ilgili kişinin talebi fark edildiğinde yerine getirilerek e-posta adresinin talebi doğrultusunda güncellendiği ve bu güncellemenin ilgili kişiye de bildirildiği, ilgili kişinin “…@gmail.com” e-posta adresiyle sisteme giriş yapabilmekte olduğu

belirtilmiştir.

Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06.02.2020 tarih ve 2020/86 sayılı Kararı ile;

  • Kanunun 13 üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinde veri sorumlusunun ilgili kişi başvurularını etkin bir şekilde sonuçlandırma yükümlülüğünün düzenlediği, veri sorumlusu tarafından ilgili kişinin başvurularına cevap verilmemesi ya da cevabın yetersiz bulunması halinde ilgili kişiye Kurula şikayet hakkı tanınmışsa da sadece başvuruya cevap verilmemesi sebebiyle veri sorumlusuna uygulanabilecek bir idari yaptırım türüne Kanunda yer verilmediği,
  • Ancak, somut olaydaki başvurunun, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuru olduğu, ilk başvuru sonrasındaki şikayet doğrultusunda Kurul tarafından alınan 01/03/2019 tarihli ve 2019/48 sayılı Kararda veri sorumlusunun, Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimatlandırılmasına karar verildiği,
  • Şikayet dilekçesi ekinde sunulan KEP delilinden veri sorumlusunun ilgili kişinin başvurusunu, kendisine iletilmesinden yedi dakika sonra okuduğunun anlaşıldığı, Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre, veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı

değerlendirilmiş olup, Kanunun 15 inci maddesinin (5) numaralı fıkrası hükümlerine aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (c) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

27.01.2020: “İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/67
Konu Özeti :İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında

Kurumumuz intikal eden bir başvuruda ilgili kişi tarafından kendisine bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının bulunmadığı ve bu kapsamda gereğinin yapılması talebini içeren başvurusu ile ilgili Kurumumuzca istenilen savunmasına istinaden veri sorumlusundan alınan yazıda;

  • Kayıtlarında tutulan kişisel verilerin ad, soyadı ve cep telefonu numarasından ibaret olduğu,
  • Kayıtlarında tutulan kişisel verilerin ilgili kişiyle reklam, kampanya ve tanıtım amaçlı olarak irtibata geçilmesi amacıyla işlendiği,
  • Kişisel verilerin internet üzerinden herkese açık bilgi kaynaklarından temin edildiği
  • Ancak şu an söz konusu bilgi kaynaklarına ulaşılamadığı, bu linklerin şu an aktif olmadığını ve kaldırıldığını tahmin ettikleri, ilgili kişinin yapmış olduğu başvuru neticesinde, kişisel verilerin sistemden derhal silindiğini ve kendisiyle bir daha iletişime geçilmediği

ifade edilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/67 sayılı Kararı ile;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Somut olayda Kurumun bilgi, belge talebine ilişkin olarak veri sorumlusu tarafından verilmiş olan cevap yazısında, ilgili kişiye ait kişisel verilerin herkese açık bilgi kaynaklarından elde edildiği ve ilgili kişinin açık rızasının bulunmadığının anlaşıldığı,
  • Kanunun 5 inci maddesinin 2 nci fıkrasının (d) bendinde yer alan alenileştirme ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,
  • Alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
  • Somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun 12 nci maddesinin 1 inci fıkrasının (a) bendine aykırılık teşkil ettiği

hususlarından hareketle veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

27.01.2020: “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/65
Konu Özeti :Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13 üncü maddesine istinaden yaptığı başvurunun cevapsız kaldığı iddialarına ilişkin Kuruma intikal eden dilekçeye istinaden veri sorumlusunun savunması istenilmiş, alınan cevabi yazıda;

  • Veri sorumlusu tarafından kullanıcıya ait verilerin uygulamaya kayıt esnasında toplanarak üyelik sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilişkisi olması sebebiyle işlendiğini, http:/www…...com/gizlilik-politikası adresinde yer alan kişiselveriler@....com e-posta adresine ilgili kişiler tarafından taleplerin iletilebileceğini belirten veri sorumlusu tarafından bu taleplerin en kısa süre cevaplandığını,
  • İlgili kişi tarafından kullanılan uygulamada ortalama puanın 5 üzerinden kaç olduğunun sorulduğuna ve “sehven süresi içinde talebe cevap verilmemiş olsa da” sonrasında yazılı olarak dönüş yapıldığı

ifade edilmiştir.

Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2010 tarih ve 2020/65 sayılı Kararı ile;

1- Kanunun 13 üncü maddesinin 2 inci fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir” hükmüne ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 6 ıncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne yer verildiği,

  • Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5 inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,

2- Bu noktada ikinci olarak, bahse taşıma/ulaşım hizmeti ile ilgili kişinin iddia ettiği ve veri sorumlusunun daha sonra Kurumun bilgi ve belge talebine yönelik yazısına cevaben gönderdiği yazı ve ekinde belirttiği üzere ilgili kişilerin puanlaması işleminin sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının incelenmesi gerektiği,

  • Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanunun 5 inci maddesinin 2 inci fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12 inci maddesinin 1 inci fıkrasının a bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının b bendine istinaden 100.000 TL idari para cezası uygulanmasına,

3- İlgili kişinin veri sorumlusunun Aydınlatma Metninde müşteriler/yolcular hakkında bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının incelendiği, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı bu dokümanda, “….’nin kişisel verilerinizi işleme amacı:

• Kimliğinizi doğrulamak

• Müşteri desteği sağlamak ve sorun gidermek

• Servis güncellemeleri ve hatalar hakkında sizi bilgilendirmek

• Uygulama ve kampanyalar hakkında sizi bilgilendirmek

• Sürücünün yolculukla ilgili olarak size ulaşması gereken durumlarda sizi arayabilmesini sağlamaktır…

şeklinde açıklandığı,

  • Veri işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun görülebileceğine ilişkin bir açıklama bulunmadığı,
  • “Kullanım Koşulları” dokümanında ise “Veri sorumlusu Sıfatıyla İşlenen Veriler” başlıklı maddesinde bu verilerin

• Tanımlama bilgileri (ad, soyad, cep telefonu numarası, e-posta adresi).

• Kullandığınız mobil aygıtın işletim sistemi versiyonu bilgisi.

• Kullandığınız mobil aygıttan edinilen konum bilgileri.

• Yolculuk sonunda sürücüye verilen oylama bilgisi ve yorumlar.

• Uygulama içindeki “Öneri ve Şikâyet” bölümünde iletilen yorumlar.”

olarak sayıldığı,

  • Bu sebepten dolayı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin puanlanmasına ilişkin bir bilgilendirme bulunmadığı,
  • Bu durumda, müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun 4 maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil ettiği, zira veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, konu “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı,
  • Bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,

4- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5 inci maddesinde kapsamında uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15 inci maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması hususunda talimatlandırılmasına

karar verilmiştir.

27.01.2020: “Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/58
Konu Özeti :Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

 

Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.

Konuya ilişkin Veri Sorumlusu Sigorta Acentesinden ihbarda yer verilen iddialara ilişkin savunması istenilmiş, alınan cevabi yazıda

  • Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı,
  • Kurumumuzca yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği,
  • Ayrıca poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı,
  • Konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabilecekleri

belirtilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/58 sayılı Kararı ile,

  • Veri sorumlusu Sigorta Acentesinin yaptığı sosyal medya paylaşımlarda müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi ayrıntılara da yer verildiği,
  • Veri sorumlusu tarafından ilgili paylaşımların şahsi Facebook hesabından ve “…….sigorta” adıyla açtığı ve poliçe paylaşımlarıyla birlikte çeşitli özel gün kutlamaları ve şahsi fotoğraflarını da paylaştığı, hesabın açıklama kısmında kendi adına da yer verdiği Instagram hesabından yapıldığı,
  • Kişisel verilerin işlenme şartlarının düzenlendiği 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun ifade edildiği,
  • Bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12 nci maddesi ile veri sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı

hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına

karar verilmiştir.

16.01.2020: “İlgili kişiye ait verilerin veri sorumlusu bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında kişinin Bankadan tazminat talep etmesi hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/43
Konu Özeti :İlgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında Bankadan tazminat talep etmesi hakkında

Kurumumuza intikal eden bir başvuruda ilgili kişiye ait verilerin bir Banka tarafından rızası olmaksızın babası ile paylaşıldığı, veri sorumlusu Banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verildiği, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı, bu nedenle de Kurumumuza başvuru yapma gereğinin hasıl olduğu belirtilmiştir.

Konuya ilişkin veri sorumlusu Bankanın savunması istenilmiş, alınan cevabi yazıda;

  • İlgili şubenin yaptığı istihbarat sorgulamasının, ilgili kişi ile aynı evde ikamet eden ve 5411 sayılı Bankacılık Kanununun 49 uncu maddesi kapsamında adı geçen ile aynı risk grubunda yer alan oğlunun kredi aksamaları bulunması sebebiyle olumsuz olarak sonuçlandığı, müşteriye de istihbarat olumsuzluğu sebebiyle kredi talebinin uygun görülmediği yönünde şifahi olarak bilgi verildiği,
  • 5411 sayılı Bankacılık Kanununun “Risk Grubu” başlıklı 49 uncu maddesinde yer alan “Bir gerçek kişi ile eşi ve çocukları, bunların yönetim kurulu üyesi veya genel müdürü oldukları veya bunların ya da bir tüzel kişinin birlikte veya tek başlarına, doğrudan ya da dolaylı olarak kontrol ettikleri ya da sınırsız sorumlulukla katıldıkları ortaklıklar bir risk grubunu oluşturur. … Bu maddenin uygulanmasında aralarında birinin ödeme güçlüğüne düşmesinin diğer bir veya birkaçının ödeme güçlüğüne düşmesi sonucunu doğuracak boyutta kefalet, garanti veya benzeri ilişkiler bulunan gerçek ve tüzel kişiler ilgili risk gruplarına dahil edilir.” hükmü gereğince ilgili kişinin babasının kredi talebinin reddedilmesinin sebebinin aynı evde ikamet ettiği ve aynı risk grubunda yer alan oğlunun kredilerindeki aksamalar olduğu ve oğluna ilişkin genel nitelikteki aksama bilgisinin babasının kredi talebinin reddedilmesi olarak gösterilmesinin zorunlu olduğunun değerlendirildiği,
  • Diğer yandan, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin 2 nci fıkrasının (a) bendinde de belirtildiği üzere kanunlarda açıkça öngörülmesi durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
  • Ayrıca Banka internet sitesi aracılığıyla kamuoyuna duyurulan “…..Bankası Kişisel Verilerin Korunmasına ve İşlenmesine İlişkin Aydınlatma (Bilgilendirme) Metni”nin “Risk Gruplarının Tespiti ve Değerlendirilmesine İlişkin Özel Durum” başlıklı bölümünde de risk grubu kapsamına girecek kişiler –müşteri olmasalar dahi- bankacılık mevzuatına göre bir risk grubuna kullandırılacak kredi sınırlarının tespiti için dahil olunacak risk grubunun belirlenebilmesi, izlenebilmesi, raporlanabilmesi, kontrol edilmesi amacıyla kişisel verilerin işlenebileceği açıkça belirtilip, ilan edilerek ilgili kişilerin bu hususta da aydınlatılması yoluna gidildiği,
  • Dolayısıyla müşterinin kredisinin reddine dayanak oluşturacak bilgiyle sınırlı olarak aynı risk grubunda bulunanlara ilişkin aksama bilgisinin detay içermeyecek şekilde verilmesinin 6698 sayılı Kanun kapsamında veri ihlali olmadığının düşünüldüğü

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde alınan Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/43 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “kişisel verilerin işlenme şartları” 5’inci maddesi gereğince kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ancak;

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olduğu,

  • Risk grubunun 5411 sayılı Bankacılık Kanununda tanımlandığı, 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin ikinci fıkrasının (ç) bendi uyarınca bankaların hukuki yükümlülüklerinin yerine getirilmesi kapsamında olduğunun değerlendirilmesi gerektiği,
  • Kişisel Verilerin Korunması Kanununun 12 nci maddesinde “veri güvenliğine ilişkin yükümlülükler” belirlenmiş olup, maddenin 1 numaralı fıkrasında, veri sorumlusunun, (a) “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek”, (b) “kişisel verilere hukuka aykırı olarak erişilmesini önlemek”, (c) “kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorunda olduğunun düzenlendiği, aynı maddenin 4 numaralı fıkrasında ise, veri sorumluları ile veri işleyenlerin, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağının hüküm altına alındığı,
  • Bankacılık Kanununun 76 ncı maddesinde “bankalar, müşterilerinin, verilen hizmetlerden kaynaklanan her türlü sorularına cevap verecek bir sistem kurmakla ve bu hizmetle ilgili bilgiyi müşterilerine bildirmekle yükümlüdür. Bankalar, kredi sözleşmelerinin onaylı bir örneğini müşterilerine vermek zorundadır. Talepleri hâlinde müşteri ile yapılan diğer işlemlere ilişkin her türlü belgenin bir örneği de müşterilere verilir.” hükmü düzenlenmiş olmakla birlikte Bankanın, söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesinin uygun olmayacağı,
  • Zira Bankacılık Kanununun 73 üncü maddesinin (3) numaralı fıkrası gereğince “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” hükmü düzenlenmiş olup aynı husus Bankacılık Kanununun 159’uncu maddesinde de “Bu Kanunun 73’üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır” şeklinde düzenlendiği,
  • Aynı zamanda Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,
  • Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136’ncı maddesi gereğince kişisel verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza Kanununun 239/1’inci maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut olayda müşteri sırrının ifşasının da söz konusu olacağı

hususlarından hareketle,

  • İlgili kişinin başvurusunda manevi zarara uğradığı yönünde bir iddia ve buna ilişkin bir tazminat talebinin söz konusu olduğu dikkate alınarak, Kanunun 14 üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiğinden, bu hususta Kanun kapsamında Kurul tarafından tesis edilecek bir işlem bulunmadığına,
  • Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine,
  • İlgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan ve bu fiiller Bankacılık Kanunu ve Türk Ceza Kanununun ilgili hükümlerinde de düzenlenmiş olduğundan, ilgili Banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi hususunun değerlendirilmesini teminen konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine

karar verilmiştir.

16.01.2020: “İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu bankadan talep ettiği tazminat talebinin karşılanmaması hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/41
Konu Özeti :İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında

Kurumumuza intikal eden bir şikayet başvurusunda kişinin bir Bankaya kredi borcu olduğu, muhtelif nedenlerle borcunu ödeyemediği ve Bankanın yasal takip başlattığı, 2018’in ikinci yarısında sigortalı olarak bir işe girdiği ve sigortası başlar başlamaz cep telefonundan arandığında cevap vermesine rağmen Bankanın iş yerini aradığı ve aile bilgilerinin sorgulandığı, ödeme yapıp yapmayacağının iş yeri sekreterine defaten sorulduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığı belirtilerek konuyla ilgili Bankaya mail yoluyla başvurduğu ve 100.000 TL maddi manevi tazminat isteminde bulunduğu belirtilmiş ve Kurumumuzca gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde 16/01/2020 tarih ve 2020/41 sayılı Kişisel Verileri Koruma Kurulu Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 11 inci maddesinin (1) numaralı fıkrasında ilgili kişinin haklarının düzenlendiği buna göre herkesin veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

e) 7’inci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması haline zararın giderilmesini talep etme

haklarına sahip olduğu,

  • İlgili kişinin veri sorumlusuna başvurusunun 11 inci madde kapsamında bir talep içermediği ve Kuruma şikayetinde de iddialarını kanıtlayıcı bir belge de sunmadığının görüldüğü,
  • Ayrıca zarara uğradığı ve buna yönelik bir tazminat talebi söz konusuysa, Kanunun 14’üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiği,

hususlarını göz önünde bulundurarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

16.01.2020: “İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/34
Konu Özeti :İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında

Kurumumuza intikal eden şikayette ilgili kişinin bir gıda şirketi adına 053.….. nolu telefonundan arandığını, şirketin internet sitesinin “bize ulaşın” bölümünden kişisel verisinin nasıl elde edildiğine ilişkin başvuruda bulunduğunu ancak kendisine herhangi bir geri dönüşte bulunulmadığını, bunun üzerine ticari işletmeye aynı taleple yazılı olarak da başvurduğunu, çağrı merkezi işiyle iştigal eden bir gerçek kişiden gelen cevabi yazıda;

  • Kendisinin 2008 yılından beri yetki aldığı firmaların ürünlerinin çağrı merkezi işi ile uğraştığını, 2013-2014-2015 yıllarında bir spor kulübünün kendisine verdiği yetki uyarınca dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştirdiğini,
  • Şikayetçinin söz konusu spor dergisi abonesi olması dolayısıyla server sisteminde telefon bilgisinin yer aldığı, ilgili kişinin telefon bilgisinin dergi aboneliğinin gerçekleştiği tarihte 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanununun 10. maddesine uygun olarak saklandığı, veri sorumlusunun 2017 yılından bu yana bir gıda markasıyla çeşitli doğal gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürüttüğü,
  • Veri sorumlusunun kullanmakta olduğu server arama sisteminin hata sonucu ilgili kişinin numarasının silinmesine karşın sistemin numarayı aradığının tespit edildiği, yapılan yanlışlık akabinde ilgili kişiye yazılı özür cevabı verilerek Kanunun 7 inci maddesi uyarınca kişisel verisinin geri dönülmez şekilde yok edildiği

bilgisinin verildiği, bu çerçevede söz konusu dergiye yapmış olduğu aboneliği kapsamında sisteme kaydedilen verilerin amacı dışında kullanıldığı ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/34 sayılı Kararı ile,

  • 6698 sayılı Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,

a)Hukuka ve dürüstlük kurallarına uygun şekilde,

b) Belirli, açık ve meşru amaçlar kapsamında,

c) Doğru ve gerektiğinde güncel olma şartıyla,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

ilkelerine uygun işlenebileceği,

  • Kanunun kişisel verilerin işlenme şartlarına ilişkin 5 inci maddesinin (1) numaralı fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, (2) numaralı fıkrasında ise “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”. hükümlerine yer verildiği,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
  • Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında “(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
  • Kanunun yürürlük tarihinden önce ilgili kişi tarafından spor dergisi aboneliği sırasında paylaşılan kişisel verilerin o dönemde söz konusu spor kulübü adına dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştiren kişi (veri sorumlusu) tarafından işlendiği, veri sorumlusu tarafından kayıtlarında yer alan bilgilerin başka bir tarihte yine veri sorumlusu tarafından bu kez bir başka Şirket adına işlenerek arandığı, dolayısı ile verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı,
  • Öte yandan Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir” hükmü kapsamında söz konusu verilerin Kanunun yayınlanma tarihinden sonraki iki yıl içerisinde Kanuna uygun hale getirilmesi amacıyla; spor dergisi aboneliği için çağrı merkezi hizmeti vermeye ilişkin veri sorumlusu ile ilgili spor kulübü arasında imzalanan sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin veri sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediğinin anlaşıldığı,
  • Her ne kadar veri sorumlusu tarafından ilgili kişinin numarasının silinmesine karşın sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığının değerlendirildiği

hususlarından hareketle veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 18.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.11.2019: “Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında”
Karar Tarihi : 07/11/2019
Karar No : 2019/333
Konu Özeti :Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında

Kurumumuza intikal eden bir şikayet başvurusunda özete;

  • İlgili kişinin bir telekomünikasyon firması adına kayıtlı 053……87 numaralı hattı için e-faturalı aboneliği kapsamında …….@gmail.com e-posta adresini kullandığı, 2018 yılı Ağustos ayından itibaren kendi faturaları ile birlikte isim benzerliği dolayısıyla başka bir abonenin faturalarının da tarafına e-posta ile gönderildiği,
  • Kişisel verilerinin işlenme sürecinde ortaya çıkan bu hatanın düzeltilmesi, kişisel verilerinin hangi amaçlarla işlendiği, yurt içi ve yurt dışında verilerinin aktarıldığı üçüncü kişiler hakkındaki bilgi taleplerini içeren e-postasını veri sorumlusuna göndererek başvuruda bulunduğu, aynı gün içinde tarafına gönderilen e-postada talebi ile ilgili olarak bir iş günü içerisinde yanıt verileceğinin ifade edilmesine rağmen herhangi bir cevap verilmediği,
  • Öte yandan başvurusunun akabinde yanlış e-fatura gönderiminin tekrar gerçekleştiği

belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Bu çerçevede Kurumumuz tarafından veri sorumlusunun konuya ilişkin savunması istenilmiş, alınan cevabi yazıda özetle;

  • Şikayetçi ile şirketlerinin aynı isme sahip bir başka abonesinin fatura detaylarının şikayetçi kişiye iletilmesi konusuna ilişkin olarak Şirketlerinin imtiyaz sözleşmesi kapsamında mobil elektronik haberleşme hizmeti veren bir işletme olduğu, bu kapsamda Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) düzenlemelerine tabi olduğu,
  • BTK Tüketici Hakları Yönetmeliğinin (THY) “Abone sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 inci maddesinin (1) numaralı fıkrasının “İşletmecinin dönemsel ya da sürekli olarak bir hizmeti yerine getirmeyi veya mal teminini üstlendiği durumlarda tarafların birbirine uygun karşılıklı rızası ile abonelik sözleşmesi yapılır. Abonelik sözleşmeleri, elle atılan imza ve güvenli elektronik imza ile yapılabilir.” şeklinde düzenlendiği, bu çerçevede Şirketlerinin aboneleri ile yaptığı Mobil Abonelik Sözleşmesi’ne göre aboneler tarafından iletilen bilgiler kapsamında hizmetlerin sunulduğu,
  • Bununla birlikte THY’nin “Fatura gönderme yükümlülüğü” başlıklı 19 uncu maddesinin (1) numaralı fıkrasının “İşletmeciler, abonenin ispatlanabilir beyanı doğrultusunda; mali mevzuata uygun olarak düzenlenen faturayı posta veya elektronik posta yöntemlerinden birisini kullanarak veya asgari olarak fatura tutarı ve son ödeme tarihini içeren fatura bilgilerini kısa mesaj yöntemi ile son ödeme tarihinden önce abonelere ulaşacak şekilde ücretsiz olarak göndermekle yükümlüdür. Fatura veya fatura bilgisinin, elektronik posta veya kısa mesaj ile gönderilmesi durumunda söz konusu gönderme işlemi son ödeme tarihinden en az yedi gün önce aboneye ulaşacak şekilde ücretsiz olarak gönderilir.” şeklinde düzenlendiği, bu çerçevede ilgili maddeye göre faturasını e-posta ile almak isteyen abonelerin kendi beyanları doğrultusunda ilettikleri e-posta adreslerine faturalarının elektronik ortamda gönderildiği,
  • Şikayet konusuna ilişkin yapmış oldukları inceleme doğrultusunda Şikayetçi ile isim benzerliği bulunan Şirketlerinin başka bir abonesi olan kişinin Mobil Abonelik Sözleşmelerinin ayrı ayrı incelendiği ve her iki abonenin de sözleşmelerinde aynı e-posta adresini beyan ettiklerinin görüldüğü,
  • Aboneleri tarafından Şirkete iletilmiş olan e-posta adreslerine faturaları, THY’nin 19 uncu maddesinin (1) numaralı fıkrası gereğince “Fatura gönderme yükümlülüğü”nün yerine getirilmesi amacıyla elektronik posta yöntemiyle iletilmiş olduğu ve Şirket tarafından mevzuata uygun hareket edildiği,
  • Diğer taraftan şikayetin giderilmesi amacıyla müşteri memnuniyeti çerçevesinde ve ilgililerin iletişim bilgilerinin güncel tutulmasını teminen Şirketin abonesi olan ve aynı e-posta adresini beyan eden diğer kişi ile birçok kez iletişime geçilmeye çalışıldığı ancak hattında bulunan kısıtlama sebebi ile kendisine ilk etapta ulaşılamadığı, daha sonra devam eden aramalarda bahsi geçen kişiye bir kez ulaşılabildiği ve e-posta adresine ilişkin şikayet konusu durum aktarılarak mevzuata uygun bir şekilde güncelleme yapması gerektiği konusunda bilgi verildiği, gelinen aşamada abonenin söz konusu güncellemeyi yapmaması ve şikayet konusu durumun devam etmesi nedeni ile konunun çözüme kavuşturulması amacıyla ilgili e-posta adresinin sistemden kaldırılarak Şikayetçiye ilgili e-postaların gitmesinin sonlandırıldığı,
  • İlgili kişi tarafından yapılan başvuruya ilişkin olarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5 inci maddesinin “(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

(2) Başvuruda;

a) Ad, soyad ve başvuru yazılı ise imza,

b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

d) Talep konusu,

bulunması zorunludur.

(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.

(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.

(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.” şeklinde düzenlendiği,

  • Şirket tarafından Kişisel Verilerin Korunması Kanununun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinde düzenlenen yükümlülükler kapsamında hassasiyetle gereği gibi etkin, hukuka ve dürüstlük kurallarına uygun olarak işlemleri sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alındığı,
  • Başvuruda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5 inci maddesine uygun biçimde zorunlu olarak yer verilmesi gereken başta TC Kimlik Numarası olmak üzere tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirme esas elektronik posta adresi, telefon ve faks numarası gibi kendisini doğrulamaya yarayacak olan herhangi bir bilgi vermediği ve bu çerçevede, kimlik teyidinin yapılamadığı, teknik anlamda güvenli olmaması sebebi ile e-posta ortamında cevap verilmesinin veri güvenliği açısından risk arz edeceğinin değerlendirildiği ve somut olaydaki şekilde birden fazla abonenin aynı e-posta adresini kullanabilmesinden mütevellit veri güvenliğinin sağlanmasını teminen Kurumumuz düzenlemelerine de aykırı şekilde gerçekleştirilmiş olan bu başvuruya dönüş yapılamadığı

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 07/11/2019 tarih ve 2019/333 sayılı Kararı ile;

  • Veri sorumlusunun Şikayetçi ile aynı isme sahip bir başka Şirket abonesinin fatura detaylarının Şikayetçi kişiye iletilmesi konusuna ilişkin açıklamaları Kanun ve ilgili alt düzenleme hükümleri çerçevesinde değerlendirildiğinde; her iki müşteri ile yapılan Abonelik Sözleşmeleri incelendiğinde aynı e-posta adresinin iki kişi tarafından da beyan edildiği, Şikayetçinin 2013 yılına ait Abonelik Sözleşmesinin el yazısı ile doldurulduğu, diğer müşterinin 2018 yılına ait Abonelik Sözleşmesinin ise elektronik ortamda doldurulduğu, iki kişinin aynı e-posta adresini almasının teknik açıdan mümkün olmadığı, kayıt sırasında bir yazım yanlışı yapılmasının ihtimal dahilinde olduğu,
  • Müşteri memnuniyeti çerçevesinde Şirketin diğer abonesi ile hangi tarihlerde iletişime geçilmeye çalışıldığı ve hangi tarihte kendisiyle görüşüldüğünün belirtilmediği, bahsi geçen müşterinin e-posta adresine ilişkin şikayet hakkındaki bilgilendirme sonrası herhangi bir güncelleme yapmaması sebebi ile şikayet konusu e-postanın hangi tarihte sistemlerinden kaldırıldığı bilgilerinin tarafımıza gönderilen cevap metninde paylaşılmadığının tespit edildiği,
  • Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varıldığı,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermemesi ile ilgili olarak halihazırda veri kayıt sisteminde kayıtlı olan bir abonenin Abonelik Sözleşmesi yapılması sırasında beyan ettiği e-posta adresi üzerinden yaptığı başvurusu için kimlik teyidi yapılamadığı gerekçesinin kabul edilebilir olmadığı, iki abonenin de aynı e-posta ile kayıtlı olmasından ötürü karışıklık yaşanabileceği kanaatine varılmış olsa da şikayet başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun başvuru koşulları hatırlatılarak verilecek bir cevap ile kimlik teyidinin vatandaşı mağdur etmeden yapılabileceğinin değerlendirildiği,
  • Ayrıca kişinin yaptığı başvuruya ilişkin olarak veri sorumlusunun e-posta adresinden talebin bir iş günü içerisinde cevaplanacağına ilişkin Şikayetçiye gönderilen cevap postasının hemen altında yer verilen “Etkileşim Kanallarımız” başlıklı bölümde yer verilen e-posta adresi üzerinden ve yine daha önce veri sorumlusuna bildirilen e-posta adresi ile şikayet başvurunda bulunduğundan ötürü veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının yukarıda yer verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığı,
  • Veri sorumlusunun ilgili kişinin başvurusuna “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun olmadığı gerekçesi ile cevap verilmemesinin Tebliğin 6’ncı maddesinde yer alan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı

sonucuna varılmış olup, bu kapsamda;

  • Şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırı olduğu kanaatine varılmasından ötürü, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
  • Bununla birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.10.2019: “Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında”
Karar Tarihi : 01/10/2019
Karar No : 2019/297
Konu Özeti :Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında

 

Kurumumuza iletilen bir şikayet başvurusunda özetle :

  • Otomotiv sanayi sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin numarasına reklam içerikli SMS gönderildiği, kendisinin bu şekilde yapılan reklamlardan rahatsızlık duyduğu ve kişisel verilerinin açık rızası olmaksızın işlendiğini düşünmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde veri sorumlusuna başvurduğu veri sorumlusunun başvuruya yazılı olarak cevap verdiği, kendisinin bu cevabı yeterli bulmadığı, bu anlamda kişisel verilerinin açık rızası olmaksızın işlendiği düşünerek Kurula şikayette bulunmuştur.

Kurul tarafından eldeki bilgi ve belgeler değerlendirilerek;

  • 6698 sayılı Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında, “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
  • Buna ilaveten, 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesinde, “Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.” hükmünün yer aldığı,
  • Başvuruya konu olay incelendiğinde; veri sorumlusu tarafından, 2012 yılında ilgili kişinin başvurusunda belirttiği telefon numarasından Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiğinin, bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiğinin, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın aldığının, bu duruma ilişkin olarak fatura cari kaydının bulunduğunun görüldüğü,
  • Firmanın, ilgili kişinin başvurusuna cevaben, söz konusu iddialarını tevsik etmek üzere satın alınan ürün ve hizmetin fatura bilgisini gösterir ekran görüntülerinin sunulduğunun, ilgili kişinin başvuru dilekçesinde de Firmanın iddialarının doğru olmadığına yönelik bir beyanının olmadığı,
  • Açıklanan mevzuat hükümleri uyarınca, veri sorumlusu tarafından ilgili kişiye verilen cevapta belirtildiği üzere ilgili kişinin kişisel verilerinin, 2012 yılında Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin vermesi, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın almasına binaen işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin Kanunun yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin 6698 sayılı Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

18.09.2019: “Ölü kişilerin verilerine yakınlarının erişim talebi hakkında”
Karar Tarihi : 18/09/2019
Karar No : 2019/273
Konu Özeti :Ölü kişilerin verilerine yakınlarının erişim talebi hakkında

 

Ölü bir kişinin eşinin Kurumumuza yaptığı başvurusunda özetle;

  • 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgilerini talep ettiğini, bu talebini içeren bir mektubu taahhütlü posta ile bahse konu Kliniğe ilettiğini, postanın karşı tarafça alındığını, ancak kendisine bir yanıt verilmediğini,
  • Bunun üzerine bahse konu taleplerini içeren bir epostayı Kliniğin elektronik ortamdaki adresine ilettiğini ve yanıt olarak resmi olmayan yollarla kendisi ile veri paylaşılamayacağının iletildiğini

ifade ederek, eşinin başvurusunda yer alan verilerine erişim talebinde bulunmuştur.

Konuya ilişkin yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/273 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı,
  • 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
  • Kanunun 11. maddesine göre ilgili kişinin kendisi ile ilgili kişisel veriler hakkında bilgi talep edebileceği,

hususları bir bütün olarak değerlendirildiğinde; talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceği, kanısına varıldığından bu hususta 6698 sayılı Kanunun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

08.07.2019: “Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında”
Karar Tarihi : 08/07/2019
Karar No : 2019/206
Konu Özeti :Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında

Kurumumuza intikal eden ihbar başvurusunda özetle, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, giriş yapılması için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı ve bu bakımdan söz konusu kişisel verinin verilmesinin bir hizmet şartı olarak talep edildiği; kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmekte olup, konuya ilişkin olarak başlatılan resen inceleme çerçevesinde alınan 08/07/2019 tarih ve 2019/206 sayılı Kurul Kararı ile;

1- 6698 sayılı Kişisel Verilerim Korunması Kanunu çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, kişinin açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirdiği ve açık rıza açıklamasının, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlayacağı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği,

Kanunun 3 üncü maddesinde yer verilen açık rıza tanımı kapsamında açık rızanın “belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması” şeklinde üç unsurunun bulunduğu,

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, Kurumumuza intikal eden ihbarda bahse konu web sayfasının, kişisel verinin işlenmesini bir hizmet şartı olarak talep ettiğinin iddia edildiği,

Bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasının, açık rızanın özgür iradeyle açıklanmış olması kuralına aykırılık teşkil edecek olmakla birlikte, incelemeye konu web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlendiğinin görüldüğü,

Bu çerçevede söz konusu Sitenin, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetler açısından üyelerine artı bir menfaat/avantaj sağladığı; siteye üye olmak istemeyen müşterilerin, söz konusu site bünyesinde yer almakla birlikte, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlere erişim, bu ürünleri ya da hizmetleri satın alma imkânlarının da ortadan kaldırılmadığı;

Bu anlamda iddiaya konu hususta, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu

değerlendirmelerinden hareketle, iddiaya konu hususa ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tesis edilecek herhangi bir işlem bulunmadığına,

2- İkinci olarak Kanunun 10 uncu maddesi hükmü uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu,

“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in; 5 inci maddesinin birinci fıkrasının

(f) bendinde; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün,

(g) bendinde; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün,

(ğ) bendinde; “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün,

(h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün,

(j) bendinde ise; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünün

yer aldığı,

İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde;

Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu,

İlgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu,

Oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği,

dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına

karar verilmiştir.

16.05.2019: “Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında”
Karar Tarihi : 16/05/2019
Karar No : 2019/138
Konu Özeti :Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında

 

Şikâyetçinin rızası dışında kendisine ait Whatsapp yazışmalarının, çalıştığı şirketin sahibi tarafından hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin iddiaları ile ilgili olarak şikayette bulunması üzerine yapılan inceleme neticesinde; Kişisel Verileri Koruma Kurulunun 16/05/2019 tarih ve 2019/138 sayılı Kararı ile;

  • Kanunun 15 inci maddesinin (1) numaralı fıkrasında Kişisel Verileri Koruma Kurulunun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen a) Belli bir konuyu ihtiva etmeyen, b) Yargı mercilerinin görevine giren konularla ilgili olan, c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
  • Diğer taraftan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı

değerlendirilmelerinden hareketle;

  • Şikayet edilenin Whatsapp grubunun kullanıcılarından biri olan bir çalışanının işyerindeki bilgisayarı üzerinden yazışmaları okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntülerini kaydetmesinin TCK kapsamında değerlendirilmesi gerektiği,
  • Şikayet edilen tarafından rızası dışında kendisine ait Whatsapp yazışmalarının hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin iddiaları ile ilgili olarak; Şikayetçi tarafından Türk Ceza Kanununun ilgili hükümleri kapsamında İstanbul Anadolu Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu ve sürecin devam ettiği

dikkate alındığında, Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine

karar verilmiştir.

14.01.2020: “Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin”
Karar Tarihi : 16/01/2020
Karar No : 2020/32
Konu Özeti :İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.

 

İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Yapılan incelemede kişinin yenilenen kredi kartının Banka sisteminde kayıtlı bulunan birinci adresine Kurye tarafından dağıtıma çıkarıldığı ancak kişiye ulaşılamadığı, kayıtlı telefon numarasına da Kurye Şirketi tarafından bilgilendirme SMS’lerinin gönderildiği ancak telefon numarasının servis dışı olması sebebiyle SMS’lerin kişiye iletilemediği, birinci adrese teslimat sağlanamadığından Banka sisteminde kayıtlı bulunan ikinci adrese dağıtıma gidildiği ve kartın burada bir kişiye teslim edildiği ancak teslim statüsünün hatalı olması sebebiyle kişiye SMS ile bilgilendirme yapılmadığı, daha sonra kişinin müşteri iletişim merkezi ile yaptığı görüşmelerde kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olmasının beyan edilmesi üzerine kartın güvenlik altına alınarak kapatıldığı, kartın aslında kişinin ikinci adresi olan eski işyeri adresine teslim edildiği anlaşılmıştır.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarih ve 2020/32 sayılı kararı ile,

  • Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
  • Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,
  • Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu,
  • Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,
  • Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,

değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine

karar vermiştir.

14.01.2020: “Bir Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi”
Karar Tarihi : 14/01/2020
Karar No : 2020/20
Konu Özeti :Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

 

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 14/01/2020 tarih ve 2020/20 sayılı Kararı ile

Eğitim Kurumundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuz yazısının işyerinde daimi çalışana teslim edilmesine rağmen, veri sorumlusu tarafından gerek ilgili kişiye gerek Kurumumuza bahse konu başvuru kapsamında herhangi bir cevap verilmediği dikkate alınarak, mevcut bilgi ve belgeler bir bütün halinde değerlendirildiğinde; Eğitim Kurumu tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle, Kanun’un 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Eğitim Kurumu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

14.01.2020: “İlgili kişi ile veri sorumlusu şirket arasında gerçekleştirilen telefon görüşmelerine ilişkin kayıtların ilgili kişiye verilmesi yönündeki talebin reddedilmesi hakkında”
Karar Tarihi : 14/01/2020
Karar No : 2020/13
Konu Özeti :Sermaye piyasası mevzuatı çerçevesinde, veri sorumlusu şirket ile ilgili kişi arasında imzalanan aracılık sözleşmesine ilişkin işlemlerle bağlantılı olarak ilgili kişiyle yapılmış olan telefon görüşmesi kayıtlarına erişim talebinin reddedilmesi hakkında.

 

İlgili kişi tarafından Kuruma yapılan şikâyet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının tarafına verilmesi talebinde bulunulduğu ancak, söz konusu telefon görüşmelerine ilişkin kayıtların taraflarına verilmesi yönündeki talebinin reddedildiği belirtilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Korum Kurulunun 14/01/2020 tarih ve 2020/13 sayılı Kararı ile;

Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğuna

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığına,

Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığına,

Şikâyetçi ilgili kişinin, veri sorumlusu tarafından işlenen kişisel verilerinin içeriğine, içeriğin tam olarak anlaşılmasına imkan tanıyacak şekilde erişim hakkı ile veri sorumlusunun, teknolojik olarak müdahale ve tahrif edilerek aleyhe kullanılabilecek olan ve şikayetçi dışındaki kişilerin de hassas nitelikli verisini içeren konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin, ancak yasal makamlar tarafından talep edildiği taktirde teslim edilebileceği yönündeki, makul kabul edilebilecek açıklaması arasındaki dengenin, şikayetçi ilgili kişi tarafından veri sorumlusundan talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil; ancak, talep edilen ses kayıtlarının dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanarak gerçekleştirilebileceğine,

Bu çerçevede, Kanunun 15 inci maddenin 5 inci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca, şikâyet başvurusuna konu telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgi kişiye gönderilmesine ve tesis edilen işlemler hakkında da Kurula bilgi verilmesine

karar verilmiştir.

14.01.2020: “Kişisel verilerin veri sorumlusu bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında”
Karar Tarihi : 14/01/2020
Karar No : 2020/26
Konu Özeti : Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında

İlgili kişiden alınan şikayet dilekçesinde ve eklerinde özetle;

  • Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,
  • İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,
  • Aynı içerikteki mesajın yıllardır görüşmediği kardeşine de gönderilmesi üzerine kardeşinin aldığı ekran görüntüsünü kendisine yolladığı,
  • Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait mail adresinden veri sorumlusu avukata e-posta gönderdiği,
  • Avukatın verdiği cevapta Bankacılık Kanunu ve diğer mevzuatlar gereği borçluya ait telefon numarası veya ikamet adresi bilgilerinin tespit edilememesi ve ulaşılamaması durumunda başkaca tespit ettikleri telefon numarası veya adreslere bilgilendirme mesajı ve bilgilendirme mektubu gönderildiğinin belirtildiği, ancak veri sorumlusunun cevabında yer verilen şahsına ait bir telefon numarasına ulaşılmadığı bilgisinin doğru olmadığı, adına kayıtlı ve kullanmakta olduğu iki adet telefon numarası daha bulunduğu, bu numaralardan hiçbirine bilgilendirme mesajı gelmezken kardeşine ait telefon numarasına mesaj gitmesinin tarafını rencide etmeye yönelik olduğu,
  • Ayrıca kardeşine gönderilen mesaja ilişkin ekran görüntüsünün mevcut olmasına rağmen, veri sorumlusu tarafından gönderilen mailin devamında kendisinin kullanmış olduğu telefon numarası dışında hiçbir kişi veya kuruluş ile irtibata geçilmediği yönünde beyanda bulunulduğu

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmiştir.

Kurumumuz tarafından dilekçede belirtilen iddialar ile ilgili olarak veri sorumlusundan savunması istenilmiş, alınan cevabi yazıda özet olarak;

  • Avukatlık mesleği itibariyle kişilerin kişisel verilerinin öğrenilmesinin veri işleme faaliyeti olmadığı ve hukuk bürosu olarak kimsenin verilerinin kendilerince işlenmediği,
  • Kişisel Verilerin Korunması Kanununun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü gereğince avukatların da yargı makamı sayılması ve kanun kapsamından istisna tutulması gerektiği,
  • İlgili kişinin T.C. kimlik numarası, adres, malvarlığı vb. bilgilerinin bankaya verilmesi suretiyle alenileştirilmiş olduğu,
  • İlgili kişinin kardeşine SMS gönderim tarihinden önce ilgili kişinin yakını olduğunu söyleyen bir şahsın ofise geldiği ve borçla ilgili bilgi almak istediği, bu şahsa ilgili kişiye ulaşabilecekleri başka bir yöntem olup olmadığı sorulduğunda şikayete konu telefon numarasını verdiği ve ilgili numaranın da sistemlerine böylece girdiği, zaten ilgili kişinin kardeşiyle iletişime geçilmesinin akabinde talep üzerine telefon numarasının sistemden çıkarıldığı,
  • Şikayetçinin müşteri sırrı kapsamındaki bilgi ve belgelerinin yasal mevzuat uyarınca yetkilendirilmiş kişi ve kurumlar hariç olmak üzere üçüncü kişiler ile paylaşılmamasına dair bankaya talimat vermemiş olduğu,
  • Gönderilen SMS’in kullanılan kredi türü yahut borç miktarı gibi bir bilgiyi içermediği, tamamen borçluyu borcu ödemeye ve müvekkil banka ile uzlaşmaya davet etmekten ibaret olduğu,

ifade edilerek, Kişisel Verilerin Korunması Kanunu kapsamında hareket ederek, kişiye ilişkin hiçbir bilgi ve belge paylaşımı yapmadığı belirtilmiştir.

Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14/01/2020 tarih ve 2020/26 sayılı Karar ile;

  • Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,
  • Diğer yandan, Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,
  • Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,
  • Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5 inci maddesi hükümleri kapsamında değerlendirilemeyeceği,
  • Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,
  • Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,
  • Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanunun 28 inci maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması; ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi; yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanunun 28 inci maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı

değerlendirildiğinden, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

26.12.2019: Aday Puanlarının Rıza Alınmaksızın, İnternet Sitesinde Paylaşılması Hakkındaki Görüş Talebi Hk
Karar Tarihi : 26/12/2019
Karar No : 2019/389
Konu Özeti : Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması uygulaması hakkında

 

Kurumumuza iletilen; öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda uygulanacak “Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav ile Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (Yönetmelik) hükümleri doğrultusunda değerlendirme puanlarının, veri sorumlusunun internet sitesi aracılığıyla kamuoyuyla paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olup olmadığı konusundaki görüş talebinin incelenmesi neticesinde;

Öncelikli olarak belirtilen ilanın, mevzuatta öngörülen süre kadar; böyle bir düzenleme yoksa veri sorumlusu tarafından işlendiği amaç için gerekli olduğu değerlendirilen süre ile sınırlı olması gerektiği, bununla birlikte söz konusu kişisel verilerin, internet ortamında ya da diğer fiziki ortamlarda ilanı halinde üçüncü kişiler tarafından tüm unsurlarıyla bilinir hale gelmesinde bir yarar bulunmadığı dikkate alındığında,

  • İnternet ortamında yayımlanan kişisel verilerin tamamen kaybolmadığı göz önüne alındığında değerlendirme puanlarının, Kanunun 4 üncü maddesinde yer alan genel ilkelere uyumlu şekilde, yalnızca akademik kadrolara müracaat eden ilgili kişilerce görüntülenebildiği bir yöntemle ve kimlik doğrulaması yapılmak suretiyle sorgulamasına imkân verecek şekilde ilan edilmesi gerektiğine,
  • İlgili kişiler ile sınav puanları arasındaki bağlantının, maskeleme (kişisel verilerin belli alanlarının kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler) yöntemleriyle kaldırılmasının uygun olacağına, bu kapsamda adaylara ait ad- soy ad, T.C. kimlik numarası gibi verilerin, kişiyi belirli ya da belirlenebilir kılabilme özelliğinin ortadan kaldırılabilmesi adına, anılan bilgilerin açık şekilde yazılması yerine, kişinin kendisinin anlayabileceği şekilde harflerin ya da rakamların “A**** B**** , 11*******11” şeklinde yıldızlanarak yukarıda sözü edilen yöntemlerle yayımlanabileceğine,
  • Kanunun 10 uncu maddesinde hükme bağlanan aydınlatma yükümlülüğü kapsamında, üniversiteler tarafından söz konusu kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerin aydınlatılması gerektiğine

karar verilmiştir.

09.12.2019: Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılmasına ilişkin
Karar Tarihi : 09/12/2019
Karar No : 2019/372
Konu Özeti :Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılması

Kurumumuza intikal eden bir şikayet dilekçesinde;

  • Bir Gazetede şikayet sahibinin oğluna yönelik yer alan köşe yazısında, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verildiği dolayısı ile ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı,
  • İlgili kişinin bu tarihe kadar kanser tedavisi gördüğünü bilmediği, rahatsızlığından ötürü psikolojisinin ve moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığı, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığı, hastalığını öğrenerek ölüm korkusu yaşadığı, ilgili kişinin kanser olduğunu Gazeteden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığı ve ailesiyle iletişimini kestiği, ölüm korkusu nedeniyle ayrıca psikolojik tedavi görmeye başladığı ve kanser tedavisini reddettiği

ifade edilerek Kanun çerçevesinde Kurumumuzca yasal işlemlerin yapılması talep edilmiştir.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 01.07.2019 tarih ve 2019/186 sayılı kararı ile, özel nitelikli kişisel veri niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varıldığından, konunun 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi çerçevesinde değerlendirilemeyeceğine ve bu itibarla söz konusu başvurunun 6698 sayılı Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde incelemeye alınmasına karar verilmiş olup yapılan inceleme çerçevesinde Kişisel Verileri Koruma Kurulunun 09/12/2019 tarih ve 2019/372 sayılı kararı ile;

  • Gazete tarafından Kanunun 6 ncı maddesinde sayılan şartlardan birine dayanmaksızın ilgili kişinin özel nitelikli kişisel verilerinin, köşe yazısında paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında söz konusu Gazete hakkında 125.000 TL idari para cezasının uygulanmasına,

karar vermiştir.

26.11.2019: Bir Banka Nezdinde Gerçekleşen Veri İhlali ile İlgili
Karar Tarihi : 26/11/2019
Karar No : 2019/352
Konu Özeti :Bir banka nezdinde gerçekleşen veri ihlali hakkında Karar

 

Bir Bankanın, Kurum kayıtlarına intikal eden Kişisel Veri İhlali Bildirim Formu ile yazısında;

  • Banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) aynı personel tarafından mesnetsiz olarak görüntülendiği,
  • Personelin en az 6 müşterinin verilerini Banka dışarısına çıkartarak yüksek miktarlı dolandırıcılık eylemlerine aracı olduğu ve menfaat sağlamış olmasının da kuvvetle muhtemel olduğu kanaatine ulaşıldığı,
  • İhlalden etkilenen kişi sayısının 6 (altı), kayıt sayısının 24 (yirmi dört) olduğu,
  • İhlalin sonucunda personelin usulsüz eylemleri nedeni ile Banka ile iş akdinin feshedildiği, personel ve olaya karışan tüm şahıslar hakkında dolandırıcılık ve zimmet suçlarından Savcılığa suç duyurusunda bulunulduğu,
  • Bu kapsamda, müşterilerin hesaplarından kendi bilgileri dışında işlem gerçekleştirildiği ve müşteri zararı oluştuğu, müşterilerin tüm zararlarının Banka tarafından tazmin edildiği

belirtilmiştir.

Bankanın, Kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde Kurulun 26/11/2019 tarih ve 2019/352 sayılı Kararı ile;

  • Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısının olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
  • Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
  • İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
  • Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği,

hususları dikkate alındığında;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 70.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre) bildirimde bulunma yükümlülüğüne uygun hareket etmeyen veri sorumlusu hakkında Kanunun 18’nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL

olmak üzere toplam 100.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

27.12.2019: Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında
Veri Sorumluları Kayıt Yükümlülüğü Başlangıç Tarihi Kayıt Yükümlülüğü Son Tarihi
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 01.01.2019 30.09.2020
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.12.2020

Karar No : 2019/387
Konu Özeti :Veri Sorumluları Siciline kayıt tarihlerinin düzenlenmesi

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (Kurul) gözetiminde Başkanlık tarafından kamuya açık olarak tutulmaktadır. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekmektedir.

Veri Sorumluları Sicilinin kamuya açık olarak tutulması; kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrolün sağlanabilmesi imkânı sunduğundan VERBİS, şeffaflık ve hesap verebilirlik özelliği ile ön plana çıkmaktadır.

Sicile kayıt yükümlülüğü, kişisel veri işlemekte olan gerçek veya tüzel kişiler için Kanunla getirilmiş bir yükümlülük olup bu yükümlülüğe uyulmaması halinde yaptırım öngörülmüş olmakla birlikte asıl hedeflenen; kişisel verilerin işlenmesinde şeffaflığın sağlanması, veri sorumlularının Kanuna uyumu konusunda özen göstermeleri, kişisel veri işlenmesinin disiplin altına alınması, kişisel verisini işlediği kişilere hesap verebilmesi, kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve bu konuda bir kültür ve farkındalık oluşmasının sağlanmasıdır.

Kayıt yükümlülüğünün yerine getirilmesi ile ilgili tarihler de Kanunun geçici 1. maddesine istinaden Kurul tarafından belirlenerek aşağıdaki gibi ilan edilmiştir:

  Veri Sorumluları Başlama tarihi Verilen süre Son tarih
1 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 15 ay 31.12.2019
2 Yurtdışında yerleşik veri sorumluları 01.10.2018 15 ay 31.12.2019
3 Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 15 ay 31.03.2020
4 Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 15 ay 30.06.2020

VERBİS üzerinden yapılan değerlendirme sonucunda, bazı veri sorumlularınca söz konusu başvuru formlarının Başkanlığımıza iletilmesi ile yükümlülüğün yerine getirilmiş olduğu düşünülerek bildirim yapılmadığı gözlemlenmektedir. İrtibat kişisi tarafından “Sicile kayıt” butonu ile giriş yapılarak bildirimin tamamlanması ve sistem üzerinden iletilmediği takdirde Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemiş olacağının bilinmesinde fayda görülmektedir.Bilindiği üzere, Kanunun 16 ncı maddesinde istisna kapsamında olmayan veri sorumluları için getirilmiş olan yükümlülük, kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Bu kapsamda veri sorumlularının, önce VERBİS’e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.

Öte yandan veri sorumlularınca, Kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla son günlerde yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmektedir.

Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;

  • Kişisel verilerin işlenmesinde şeffaflığın,
  • Kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının,
  • Kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin,
  • Veri sorumlularının Kanuna uyumunun,
  • İstisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının

sağlanmasıdır.

Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır.

VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görülmektedir.

Bu durumun nedenlerinden birisinin de Kanunun 18 inci maddesinde öngörülen yaptırımlarla karşılaşmamak adına Kurul tarafından belirlenen süre içerisinde bir kayıt gerçekleştirmek olduğu anlaşılmaktadır.

Kanunun 16 ncı maddesinde Sicile ilişkin bazı hükümler yer almış olup diğer usul ve esasların da yönetmelikle düzenleneceği ifade edilmiştir. Buna istinaden 31.12.2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinde;

“ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.”

hükümleri yer almıştır.

Buna göre, veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlanması ve VERBİS’e bildirim yapılırken gelişigüzel değil söz konusu envanter baz alınarak giriş yapılması gerekmektedir.

Ayrıca, Kanunun 16 ncı maddesinde Sicile girilen bilgilerde meydana gelen değişikliklerin derhâl Başkanlığa bildirileceği hükmü ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 13 üncü maddesinde yer alan “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” hükmü gereği gerekli güncellemelerin belirtilen sürede yapılması gerekmektedir.

Veri sorumlularınca Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi amacıyla VERBİS’e girilen bilgiler üzerinden Kurul tarafından yapılan araştırma ve değerlendirme sonucunda;

a) Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi kapsamında;

  • Bazı veri sorumlularının sadece kayıt başvuru formunu ilettiğinin görüldüğü, Kanunun 16 ncı maddesinde yer alan yükümlülüğün kayıt ve bildirimi kapsadığı, bu nedenle Kurumca iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yapılarak kişisel veri işleme faaliyetlerine ilişkin bildirimin tamamlanması gerektiğinin,
  • Sicile kayıt ve bildirim yükümlülüğünün asıl amacının kişisel veri işlemede şeffaflık, kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek kişisel veri işleme faaliyetlerinin disiplin altına alınması, bu alanda kültür ve farkındalık oluşması, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesi, veri sorumlularının Kanuna uyumu ve istisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının sağlanması olduğunun,
  • Sicile kayıt ve bildirim yükümlülüğünün sadece Kanunda öngörülen yaptırımlarla karşılaşmamak adına süresi içerisinde bir kayıt gerçekleştirmek olarak anlaşılmaması gerektiğinin, bu amaca yönelik kayıt ve bildirimlerin Kanuna aykırılık teşkil edebileceğinin,
  • Özellikle son zamanlarda VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı/alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün,
  • VERBİS’e beyan edilen bilgilerin doğru ve güncel olması gerektiğinin, bu bilgilerden ilgili veri sorumlusunun sorumlu olduğunun,
  • Sicile kayıtla yükümlü olan veri sorumlularının Veri Sorumluları Sicili Hakkında Yönetmelik gereği kişisel veri işleme envanteri hazırlamak zorunda olduğunun ve VERBİS’e girilen bilgilerin bu envantere dayalı olarak hazırlanması gerektiğinin,
  • Veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlaması ve VERBİS’e bildirim yapılırken gelişigüzel değil mutlaka söz konusu envanter baz alınarak giriş yapılması gerektiğinin,
  • Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirilmesi gerektiğinin

tüm veri sorumlularına hatırlatılmasına,

b) Yukarıda yer verilen açıklamalar doğrultusunda kişisel veri işleme envanteri hazırlamadan gelişigüzel VERBİS’e kayıt ve bildirim gerçekleştiren veri sorumluları ile envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan veri sorumluları dikkate alınarak, VERBİS’e girilmiş olan bilgilerde herhangi bir hata veya Kanuna aykırılık varsa bu durumun bir an önce düzeltilmesi için gerekli çalışmaların yapılabilmesini teminen 6698 sayılı Kanunun Geçici 1 inci maddesi gereği;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
  • Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine,

kadar uzatılmasına,

c) Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

karar verilmiştir.

https://www.kvkk.gov.tr/Icerik/6631/Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Kurulca-Belirlenen-Tarihler-Hakkinda-2019-387-Sayili-Kurul-Karar-Ozeti

26.11.2019: Dernek, Vakıf Ve Sendikaların Veri Sorumluları Siciline Kayıt Yükümlülüğü İstisnası Hakkında
Karar Tarihi : 26.11.2019
Karar No : 2019/353
Konu Özeti :Vakıf ve derneklerin Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamıyla ilgili bilgi talebi hakkında başvuru

Bilindiği üzere 6698 sayılı Kanunun 16 ncı maddesinin ikinci fıkrasında “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü yer almaktadır.

Buna göre, genel kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte bu yükümlülüğe Kişisel Verileri Koruma Kurulu (Kurul) tarafından istisna getirilebilmektedir.

Maddenin verdiği yetkiye dayanarak Sicile kayıt yükümlülüğüne istisna getirilen veri sorumluları ile ilgili olarak alınan 2018/32 sayılı Kurul Kararının 3 üncü maddesinde; “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesi yer almaktadır.

Anılan Kurul kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinde veri konusu kişi grubu sınırlı sayma yöntemiyle belirlenmiş olup bu durumda dernek ve vakıflardan sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler Sicile kayıt yükümlülüğünden istisna kapsamında değerlendirilmiştir.

Söz konusu vakıf, dernek ve sendikaların Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamı ile ilgili bilgi almak amacıyla Kuruma yapılan başvurunun incelenmesi neticesinde Kurul tarafından;

2018/32 sayılı Kurul Kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin, “kendisine bağış yapılanları” da kapsadığı ve bu hususun “faaliyet alanlarıyla sınırlı” ifadesine dâhil olarak yorumlanması gerektiğine,

karar verilmiştir.

07.11.2019: "Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” hakkında
Karar Tarihi : 07/11/2019
Karar No : 2019/332
Konu Özeti : Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde, Şikayete konu olayın değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu’nun bilgi, belge ve savunma talep edilen yazısına da veri sorumlusu Doktor tarafından cevap verilmemesi sonucunda;

6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurulun 11/04/2019 tarihli ve 2019/98 sayılı Kararı ile başlatılan inceleme kapsamında veri sorumlusundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuzun 18/06/2019 tarihli yazısının 20/06/2019 tarihinde aynı konutta bir yakınına teslim edilmesine rağmen, bugüne kadar herhangi bir cevap verilmediği de dikkate alınarak, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, anılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.11.2019: "“lgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi” hakkında
Karar Tarihi : 07/11/2019
Karar No : 2019/331
Konu Özeti : İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.

İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda …uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soyad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,

Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

18.09.2019: "Sevinç Eğitim Kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesi” hakkında
Karar Tarihi : 18/09/2019
Karar No : 2019/276
Veri Sorumlusu : Sevinç Eğitim Kurumları
Konu Özeti : Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Bu çerçevede;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 28.09.2018 tarihli ve 2018/112 sayılı Kurul Kararına istinaden Sevinç Eğitim Kurumları nezdinde yapılan yerinde inceleme esnasında istenilen ve 05.08.2019 tarihine kadar Kuruma gönderilmesi tebliğ edilen bilgi ve belgelerin eğitim kurumu tarafından Kuruma iletilmediği de dikkate alındığında,

anılan eğitim kurumu tarafından Şikayetçinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle anılan eğitim kurumunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması sebebiyle, Sevinç Eğitim Kurumları hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü gereğince 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

01.10.2019: “Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında
Karar Tarihi : 01/10/2019
Karar No : 2019/296
Konu Özeti : Bir operatör şirketinin ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru hakkında

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şirketin internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirkete yapılacak başvurunun KVKK talep formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiği doğrultusunda bilgilendirme mahiyetinde açıklamada bulunulduğu ve söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uygun bir formatta sunulduğu, Şirketin yapılacak başvurularda belirtilen şekilde başvuruyu aramasının nedeni olarak kişilerin kimlik tespitinin amaçlandığı, Şirket tarafından başvuran kişi ile bilgisi talep edilenin aynı kişi olup olmadığı hususunda Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu, ilgili kişinin başvurusunun Şirket tarafından belirtilen yöntem üzerinden değil Şirketin müşteri hizmetlerine elektronik ortamda yapıldığı, ilgili kişinin başvurusunu ilettiği formda ise Şirketin başvuru amacına yönelik oluşturduğu KVKK talep formunun aksine kimlik teyidini sağlayacak TC kimlik numarası, adres gibi bilgilerin istenmediği, yalnızca ad soyad, telefon, e-posta adresi gibi bilgilerin zorunlu olarak yer aldığı ve bu sebeplerle bahsi geçen şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmış olup,

6698 sayılı Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileceği, bu kapsamda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü tutulduğu hükümlerine yer verildiği dikkate alınarak;

  • Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına,
  • İlgili kişiye ise 6698 sayılı Kanun’un 11’inci maddesi kapsamında ilgili kişinin hakları ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in ilgili maddelerinin hatırlatılmasına

karar verilmiştir.

01.10.2019: “Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında
Karar Tarihi : 01/10/2019
Karar No : 2019/294
Konu Özeti : Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

 

Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişinin Kuruma yaptığı başvurunun incelenmesi neticesinde,

  • İlgili kişinin kimlik görüntüsünde yer alan bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğu, bu nedenle Kanunun 5 inci ve 6 ncı maddelerinde düzenlenen hükümlerin birlikte dikkate alınması gerektiği, söz konusu verilerin özel nitelikli verileri de ihtiva etmesi nedeniyle ilgili kişinin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir işleme olduğu,
  • Başvuruya konu olay Genel İlkeler bakımından değerlendirildiğinde,
    • Arkalı önlü kimlik görüntüsünün işlenmesinin, Kanunun 5 inci ve 6 ncı maddeleri kapsamında kişisel verilerin işlenme şartlarına uygun olmayan bir işleme faaliyeti olduğu değerlendirildiğinden, hukuka uygunluk ilkesine aykırı olduğu; öte yandan veri sorumlusunun kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı, bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunduğu,
    • Veri sorumlusunun kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığı hususunun ilgili kişiye verilen cevapta ve kurumumuza intikal eden yazıda belirtilmediği, bu nedenle veri sorumlusunun veri işleme faaliyetinin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı olduğu,
    • Kimlik doğrulama işlemi için daha az verinin işlenmesinin mümkün olduğundan hareketle veri sorumlusunun somut olayda işlediği kimlik görüntüsünün işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,
    • Veri sorumlusunun kimlik görüntüsünü işlediği gibi, kimlik doğrulama işlemi bittikten sonra bu verileri silmediği, Kurumumuzca bilgi belge talep edilmesi üzerine sildiğini beyan ettiği gerçeğinden yola çıkarak, veri sorumlusunun veri işleme faaliyetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı olduğu,
  • İlgili kişinin, amacın ortadan kalktığı gerekçesi ile kişisel verilerini içeren nüfus cüzdanı görüntüsünün silinmesi veya yok edilmesi ile kişisel verilerinin silinmesi veya yok edilmesi işlemlerinin kişisel verilerinin aktarıldığı üçüncü kişilere de bildirilmesini talep ettiği, veri sorumlusunun ise güvenlik sebebi ile alınan kimlik kartı, pasaport ya da kimlik görüntüsü gibi bilgilerin kayıt altına alınmadığı ve üçüncü kişiler ile paylaşılmadığı şeklinde elektronik posta vasıtasıyla yanıt verdiği, ancak daha sonra Kurumumuzun bilgi ve belge talep etmesi üzerine veri sorumlusu tarafından yapılan incelemede ilgili kişi ile iletişim halinde olan çağrı merkezi ekibi tarafından ilgili kişinin ilk başvurusu işleme alınırken kimlik doğrulama sürecinin Şirket kurallarına uygun olarak yürütülmediği, kimlik görüntülerinin alınmasına dair şikayetin içeriğinin doğru tahlil edilemediği, ilgili kişinin, kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirildiği ve yazılı çalışma kurallarının aksine talep değerlendirme, görüş ve destek birimlerinin yeterli bilgisi olmadan şikayetlerin yanıtlandığının tespit edildiği, ilgili kişinin iletmiş olduğu kimlik görüntülerinin şikayet modülü yazılım firmasının sunucuları üzerinde bulundurulduğu, kimlik görüntülerinin silinmediğinin tespit edildiği, dolayısıyla inceleme neticesinde işlem yapan çağrı merkezi personelinin başvuru sahibi ilgili kişiyi kişisel verilerinin saklandığı yerler ve paylaşıldığı üçüncü kişiler hakkında yanlış bilgilendirdiğinin ve bilgi eksikliği nedeniyle verilerinin silinmesine ve veri işleyenleri öğrenmeye yönelik taleplerini işleme almadığının tespit edildiğinin belirtildiği, bu nedenle veri sorumlusunun, ilgili kişinin veri sorumlusuna başvuru hakkına riayet etmediği, diğer bir deyişle, veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği,
  • Diğer yandan, veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlendirilmekle birlikte, ilgili kişinin din ve kan grubu gibi özel nitelikli kişisel verilerini de içeren arkalı önlü kimlik görüntüsünün talep edilmesinin, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde düzenlenen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmadığı gibi, Kanunun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6 ncı maddesine de uygun olmadığı, zira veri sorumlusunun da yapığı savunmada, somut olayda çağrı merkezi ekibi tarafından yazılı çalışma kurallarına aykırı şekilde kimlik belgesi talep edildiğini belirterek, olaya ilişkin ikrarda bulunduğu,
  • Yukarıda açıklandığı üzere somut olayda işlenen kimlik görüntüsüne yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin bulunmadığı, genel ilkelere uyulmadığı ve ilgili kişinin haklarına riayet edilmediği gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu, bu çerçevede kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olan veri sorumlusunun veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığı

tespit edilmiş olup, bu itibarla,

  • Kanunun 12 inci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen Veri Sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun Kurumumuza ilettiği yazıda, kişisel verilerinin silindiği hususunda ilgili kişinin bilgilendirileceğini belirtmiş olmasına rağmen, inceleme sürecinde bu bilgilendirmenin yapıldığına dair taraflardan gelen herhangi bir bildirim olmadığı dikkate alındığında, ilgili kişinin kimlik görüntüsünü içeren kişisel ve özel nitelikli kişisel verilerinin veri sorumlusu ve veri işleyenlerin sistemlerinden silindiği bilgisinin ilgili kişiye bildirilerek Kurumumuza bilgi verilmesi, önceden bildirildi ise bunu tevsik edecek bilgi ve belgelerin Kurumumuza iletilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Kişisel verileri işlenen müşterilerin bundan sonraki taleplerinde benzer karışıklıklara meydan vermemek amacıyla, sadakat kart uygulaması ve diğer hizmetlerin sunulması sürecinde kendi adına veya bir başkası adına kişisel verilere ilişkin talepte bulunan kişilerin kimliklerinin teyit edilmesi noktasında uygulanacak yöntem ve bu durumda işlenecek kişisel verilere ilişkin kurumsal düzenlemeleri Kanun kapsamında gözden geçirerek, ilgili birimleri ile veri işleyenleri bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

18.09.2019: Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması hakkında
Karar Tarihi : 18/09/2019
Karar No : 2019/277
Konu Özeti : İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında

 

Şikâyetçinin bir banka çalışanının kendisini arayarak eşinin müdürü olduğu Şirket ile ilgili olarak eşine ulaşamadığını ve eşiyle iletişime geçebilmesi konusunda kendisine yardımcı olmasını talep ettiği, bunun üzerine müşterisi olarak Bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hakkında bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir cevap vermediği iddiasıyla yapılan başvurusunun incelenmesi sonucunda;

Şikâyetçinin talebini Bankaya e-posta yoluyla ilettiği ancak Bankadan cevap verilmediği yönündeki iddiası ile ilgili olarak Bankanın Şikâyetçinin e-posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gidildiği görülmüştür.

Bu çerçevede;

  • Banka tarafından, Şikâyetçiye gönderilen e-posta mesajında başvurusuna ilişkin detayları Banka Hizmet Hattını arayarak öğrenebileceğine dair bilgilendirme yoluna gidilmesinin, veri sorumlusunca Şikâyetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşılmış olduğundan, Şikâyetçinin başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun cevap verilmemiş olması nedeniyle Bankaya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,,
  • Şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin, 6698 sayılı Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (c) ve (ç) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

23.07.2019: "Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi Hakkında"
Karar Tarihi : 23/07/2019
Karar No : 2019/225
Konu Özeti : Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt

 

Kurumumuza iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle;

  • yurtdışında yerleşik tüzel kişiler,
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının

6698 sayılı Kanuna göre veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde;

Yurtdışında yerleşik tüzel kişiler açısından;

6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmış olup bunlar gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Bu kapsamda bir kişisel veri işleme etkinliğinde veri sorumlusunun tespiti için veri sorumlusu tanımında yer alan kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma ve ayrı bir gerçek veya tüzel kişi olma kriterleriyle birlikte, kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği dikkate alınabilecektir.

Bunlara ek olarak, merkez şirketten bağımsız olarak tabi olunan hukuki yükümlülükler, merkezden bağımsız olarak doğrudan kişisel verileri işlenen kişilere uygulanan kendi hüküm ve şartlarının mevcudiyeti gibi unsurlar da veri sorumlusunu belirlemek bakımından önem arz etmektedir.

Bununla birlikte ifade etmek gerekir ki, yurt içinde ve yurt dışında faaliyet gösteren ticari işletmeler, Türkiye’deki iş ilişkilerini yürütmek açısından çeşitli seçeneklere sahiptir. Bu seçeneklerden birisi şube açmak, diğeri de irtibat bürosu kurmaktır.

Bu açıdan ilgili seçenekler değerlendirilirken faaliyet çerçevesinin belirlenmesi önem taşımaktadır. Uygulamada genellikle, şirketler yürüttükleri faaliyetlerin kapsamı arttıkça işlerini merkezden yönetmek yerine, kuracakları yarı bağımsız birimler yani şubeler aracılığı ile mahallinden yönetmeyi tercih etmektedirler.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından;

6102 sayılı Türk Ticaret Kanununun (TTK) “Tescil” başlıklı 40 ıncı maddesinin üçüncü fıkrasında “Merkezi Türkiye’de bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü, 4 üncü fıkrasında ise “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü yer almaktadır.

5174 Sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanununun 9 uncu maddesinin 2 nci fıkrasında ise “Bir merkeze bağlı olduğu halde, ister merkezin bulunduğu odanın, ister başka odanın çalışma alanı içinde olan müstakil sermayesi ve müstakil muhasebesi bulunan ve/veya muhasebesi merkezde tutulduğu ve müstakil sermayesi bulunmadığı halde kendi başına sınaî faaliyet ve ticarî muamele yapan yerler ve satış mağazaları bu Kanunun uygulanması bakımından şube sayılır” denilerek odalara kayıt zorunluluğunun kapsamı belirlenirken şubenin tanımına da yer verilmiştir.

5411 sayılı Bankacılık Kanununun 3 üncü maddesine göre de şube; “elektronik işlem cihazlarından ibaret birimleri hariç olmak üzere, bankaların bağımlı bir parçasını oluşturan ve bu kuruluşların faaliyetlerinin tamamını veya bir kısmını kendi başına yapan, sabit ya da seyyar bürolar gibi her türlü iş yeri” olarak ifade edilmiştir.

Ticaret Sicili Yönetmeliğinin 118 inci maddesinin 1 inci fıkrasında ise şube, “bir ticari işletmeye bağlı olup ister merkezinin bulunduğu sicil çevresi içerisinde isterse başka bir sicil çevresinde olsun, bağımsız sermayesi veya muhasebesi bulunup bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü yerler ve satış mağazaları” olarak tanımlanmıştır.

Bu çerçevede, bir yerin şube sayılabilmesi için merkeze bağımlı olma, dış ilişkilerde bağımsızlık, yer ve yönetim ayrılığı gibi kriterlere de bakmak gerekir.

Merkeze bağımlı olmak, şubenin merkeze ticari bir işletmenin parçası olarak bağlı olması anlamına gelmekte olup şube ile merkezin aynı gerçek veya tüzel kişiye ait olması gerekir. Bu bağlılık nedeniyle şubenin, merkezden ayrı bir işletme politikası olamaz, şubenin kâr ve zararı merkeze aittir. Şube aracılığıyla elde edilen hakların, üstlenilen borçların sahibi de şube değil merkezdir. Ayrıca şube, ancak merkez nam ve hesabına üçüncü kişilerle iş ve işlem yaptığından şube tarafından yürütülen faaliyetten doğan hak ve yükümlülüklerin muhatabı da merkez, bir diğer ifade ile işletme sahibi olmaktadır. Bu bağlamda, merkez ile şube iktisadi bir bütün oluşturarak ortak bir işletme politikası yürütmektedir.

Dış ilişkide bağımsızlık, şubenin merkezin yaptığı işlemler türünden işlemleri üçüncü kişilerle kendi başına yapma yetkisine sahip olmasını ifade etmektedir. Yer ayrılığı ilkesine göre, şube ticari işletmenin genişleyen faaliyetlerinin mahallinden daha kolay biçimde yürütülmesi amacıyla açıldığında merkez ile şube arasında kural olarak yer ayrılığı olmalıdır. Ancak bu hususu çok dar ve kesin biçimde yorumlamamak gerekir.

Yönetim ayrılığı ise, şubenin kendi başına ticari işlem yapmaya yetkili olduğundan merkezden ayrı bir yönetime sahip olması gerekliliğini ifade etmektedir.

Öte yandan, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) 3 üncü maddesinin (1) numaralı fıkrasında “Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.” düzenlemesine yer verilmiştir.

Söz konusu hükme göre, Avrupa Birliği’nde (AB) bulunan şubenin / irtibat bürosunun kendisinin veri işleyip işlemediği önemli değildir. Yabancı şirket, AB’de bulunan şubesinin / irtibat bürosunun faaliyetleri çerçevesinde veri işleme gerçekleştirdiği takdirde GDPR hükümlerine tabi olmaktadır. Bu kapsamda, AB’de bulunan işletme ile AB dışında bulunan veri sorumlusunun veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde, AB dışında bulunan veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varılmaktadır. Burada, AB dışında bulunan şirketlerin, veri sorumlusu / veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak “işletme” kavramı dikkat çekmektedir. Yani GDPR’ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir girişimin / oluşumun (şirket vb.), AB’de bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR hükümlerine tabi olması sonucu doğabilmektedir.

Yine GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde 6698 sayılı Kanunda yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı olarak tanımlanmıştır. Bu çerçevede veri sorumlusu, kişisel verileri elinde bulundurması dolayısıyla bu sıfatı kazanmakta, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemekle veri sorumlusu haline gelmektedir.

Bu açıdan değerlendirildiğinde, her ne kadar Sicile kayıt yükümlülüğü için 6698 sayılı Kanuna göre veri sorumlusu sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de, yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da TTK 40 ıncı maddesine göre şubelerin yerli ticari işletmeler gibi tescil oldukları ve GDPR’ın 4 üncü maddesindeki veri sorumlusu olma kriterleri arasında “tüzel kişi” olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağı değerlendirilmektedir.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları açısından;

4875 sayılı Doğrudan Yabancı Yatırımlar Kanununda yabancı yatırımlar ile ilgili düzenlenmeler bulunmakta olup bu doğrultuda, doğrudan yabancı yatırıma ilişkin esaslar arasında, yatırım planlanan ülkeye irtibat bürosu kurma da yer almaktadır.

4875 sayılı Doğrudan Yabancı Yatırımcılar Kanunu Uygulama Yönetmeliğinin 6 ncı maddesinin 1 inci fıkrasında “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir.” düzenlemesine yer verilmiştir.

Yukarıda yer verilen açıklamalar çerçevesinde yapılan değerlendirme sonucunda;

  1. Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
  2. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
  3. Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına,

karar verilmiştir.

27.08.2019: Bir turizm şirketinin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/255
Konu Özeti :Bir turizm şirketinin veri ihlali hakkında Karar

Şirket tarafından Kurumumuza iletilen bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Kararı ile;

  • Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğu,
  • Etkilenen kişisel verilerin;
    • Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri
    • Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi(DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No(DB-Veri tabanı seviyesinde şifreli), cinsiyet

    olduğu,

  • Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmadığı,
  • Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğu,
  • Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
  • Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
  • Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğu,
  • İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğu, - Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
  • Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu

dikkate alınarak;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında yer alan “..veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) numaralı fıkrasında yer alan “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,

Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

27.08.2019: S Şans Oyunları A.Ş.'nin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/254
Konu Özeti :S Şans Oyunları A.Ş.'nin veri ihlali hakkında Karar

S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren yazılarda özetle;

  • S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,
  • Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları,
  • Veri ihlalinin gerçekleşme tarihinin bilinmediği,
  • İhlalden etkilenen kişi sayısının belirlenemediği,
  • İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,
  • Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Kararı ile;

  • İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
  • İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
  • Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
  • Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,

Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,

Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

18.09.2019: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar
Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar

Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;

  • Facebook Inc. nezdinde 14-28 Eylül 2018 tarihleri arasında access token (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
  • 25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
  • Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
  • İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül 2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
  • 28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,
  • İlgili zafiyetin, üç ayrı hatanın birbiri ile etkileşiminin bir sonucu olarak meydana geldiği, buna göre etkileşen üç hatanın; 1) “Başkasının Gözünden Gör” ara yüzünün, kullanıcıların kendi profillerinin başkaları tarafından nasıl görüntülendiğini görebildiği bir gizlilik özelliği olduğu, “Başkasının Gözünden Gör” özelliğinin yalnızca bir görüntüleme arayüzü olarak tasarlandığı, ancak kişilerin Facebook’a içerik yüklemesini sağlayan bir kutucuk (composer) üzerinden (spesifik olarak, kişilerin arkadaşlarının doğum günlerini kutlamalarını sağlayan versiyon üzerinden) “Başkasının Gözünden Gör” arayüzünde video yüklenmesi imkanının yanlışlıkla sağlandığı, 2) Video yükleyicisinin Temmuz 2017’de hayata geçirilen yeni bir versiyonunun (ilk hata sebebiyle uygulamaya konulan yeni arayüz), hatalı bir şekilde, Facebook mobil uygulamasının izinlerini taşıyan bir erişim jetonu oluşturduğu, bu erişim jetonunun sayfanın HTML kodunda görüntülenmekte olduğu, 3) Video yükleyicisinin “Başkasının Gözünden Gör” ekranının bir parçası olarak görüntülendiğinde, görüntüleyene ait erişim jetonu yerine görüntülediğiniz kullanıcıya ait erişim jetonunu oluşturduğu, ve bu üç hatanın bir araya gelmesi ile ilgili zafiyetin ortaya çıkığı, kişinin bir arkadaşının gözünden profilini görüntülemesini sağlayan “Başkasının Gözünden Gör” özelliğini kullanırken, uygulama kodunun kişilerin başkalarının doğum gününü kutlamalarını sağlayan kutucuğu kaldırmadığı, video yükleyicisinin yaratmaması gerekirken bir erişim jetonu yarattığı ve yaratılan erişim jetonunun kullanıcının kendisine değil görüntülenen kişiye ait olduğu,
  • İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele geçirdikleri,

ifadelerine yer verilmiştir.

Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde,

  1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
    • Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
    • Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
    • Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
    • Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,

    göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,

  2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
  3. İlgili zafiyetten kaynaklı olarak ihlalin 14 - 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,
    • 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
    • 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
    • Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
    • 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 - 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği

    göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,

  4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
    • 133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
    • 143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
      • Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
      • Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
      • Yerel ayarlar [kullanıcı tarafından seçilen dil]
      • İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
      • Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
      • Memleket [kullanıcı tarafından profilde belirlendiği üzere]
      • Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
      • Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
      • Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
      • Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
      • Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
      • Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
      • Facebook’ta son zamanlarda yapılan aramalar
      • Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
    • 3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı,

    göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,

  5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
  6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,

tespit edilmiş olup, bu kapsamda

  • Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
  • Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına,

oy birliğiyle karar verilmiştir.

17.07.2019: "Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 17/07/2019
Karar No : 2019/222
Konu Özeti :Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme

Kurum kayıtlarına 08.04.2019 ve 25.06.2019 tarihlerinde intikal eden, Dubsmash Inc.’i temsil eden Lewis Brisbois Bisgaard & Smith LLP’nin yazlarında özetle;

  • 8 Şubat 2019 tarihinde Dubsmash’in, gazeteci olduğunu iddia eden bir kişiden gelen e-posta vasıtasıyla veri ihlalinden haberdar olduğu, söz konusu gazetecinin ise karanlık ağda (Darknet) Dubsmash kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişi tarafından haberdar edildiği,
  • İddiaları soruşturmak için bir dijital adli tıp firması ile anlaşıldığı ve inceleme başlatıldığı, 11 Şubat 2019’da Dubsmash’ın kullanıcı bilgilerini içeren veri tabanı kopyasının satın alındığı,
  • Satın alınan veri tabanında bulunan kişilerin sayısına dayanarak, olayın Kasım 2018’de meydana geldiğinden şüphelenildiği,
  • Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı,
  • İhlalin tekrar yaşanmaması, güvenlik tedbirlerinin güçlendirilmesi, ağ ve sistemlerin güvenli olması da dahil olmak üzere gerekli adımların atıldığı,
  • Dubsmash’ın kullanıcı sorularına cevap vermek için bir çağrı merkezi kurduğu, çağrı merkezi için yerli ve uluslararası telefon numaraları sağlandığı,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 17.07.2019 tarih ve 2019/222 sayılı Kararı ile;

  • Lewis Brisbois Bisgaard & Smith LLP’nin, Dubsmash Inc (ABD)’nin yasal temsilcisi olduğuna dair tevsik edici belgenin Kurum’a iletilmediği,
  • Hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerinin Darknet web’te satıldığı,
  • Bu bilgiler arasında kullanıcıların kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerin olduğu,
  • Bu verilerin Kasım 2018 Şubat ayından beri satışta olduğunun tahmin edildiği,
  • Veri ihlalinin nasıl gerçekleştiğinin bilinmediği, - Veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğunu gösterdiği,
  • Dubsmash’in büyük çaptaki bu veri ihlaline rağmen kullanıcılarını bu konuda bilgilendirmediği,
  • Dubsmash kullanıcılarının ancak belli bazı sitelerden verilerinin ihlal edilip edilmediğini öğrenebildikleri

hususları dikkate alınarak,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Şirket hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 680.000 TL,
  • 08.02.2019 tarihinde tespit edilen veri ihlalinin 27.02.2019 tarihinde Kuruma bildirildiği dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulaması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL,

olmak üzere toplam 730.000 TL idari para cezası uygulanmasına,

  • İhlalden, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişinin etkilendiği dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü gereğince söz konusu ihlalin Kurumun internet sitesinde ilan edilmesine

karar verilmiştir.

08.07.2019: "Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru ile ilgili"
Karar Tarihi : 01/08/2019
Karar No : 2019/204
Konu Özeti :Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kurula yaptığı başvuru

İlgili kişinin şahsına ait cep telefonunun açık rızası olmaksızın bir yatırım ve menkul değerler şirketi tarafından bilgilendirme/reklam amaçlı aranması üzerine veri sorumlusuna yaptığı başvuruya yeterli yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şikayetçinin müşterisi olduğu personelin daha önce başka bir yatırım şirketinde çalıştığı, bu şirketin faaliyetlerine son verilip kapatılmasının ardından 2017 yılında bahse konu personelin yine aynı alanda faaliyet gösteren veri sorumlusu şirkette çalışmaya başladığı, dolayısıyla şikayetçinin telefon numarası bilgisine bu şekilde vakıf olunduğu ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişinin reklam ve bilgilendirme amacıyla arandığı anlaşılmış olup,

6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

  • Şikayete konu başvuru, veri işleme şartları açısından değerlendirildiğinde Şirketin Şikayetçinin telefon numarasını işlemesinin 6698 sayılı Kanunun 5 inci maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına,
  • Şirketin beyanlarında yer alan; Şikayetçinin Şirketin bir pazarlama personelinin başka bir şirkette çalışırken müşterisi olması nedeniyle, bu personelin yeni işyeri olan Şirkete bu verileri aktardığına ilişkin iddialarına ilişkin olarak; Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine,
  • Şikayetçinin Şirketi muhatap başvurusunda yer alan kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talebine Şirketçe cevap verilmemiş olması nedeniyle Şirketin Kanuna uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasına ve söz konusu hususlarda Şirketin Kurumu muhatap yazısında belirtildiği şekliyle Şikayetçiye bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

01.07.2019: "Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında"
Karar Tarihi : 01/07/2019
Karar No : 2019/188
Konu Özeti : Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında

Mimar Sinan Güzel Sanatlar Üniversitesinde sınava girmiş kişilerin sınav sonuçlarının Yükseköğretim Kurulunun sınav sonuçlarına ilişkin düzenlemeleri çerçevesinde alenen duyurulduğu ve sonuçların internette aramaya açık biçimde yayınlandığı, arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabildiği, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık olduğu, ancak bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, söz konusu uygulamanın düzeltilmesi, üniversitedeki sınav sonuçlarının kullanıcı adı-şifre ile giriş yapılan güvenli bir sistem ile açıklanması talebine ilişkin Kurumumuza intikal eden bir başvuru ile ilgili olarak;

Kişisel Verileri Koruma Kurulu (Kurul) Kararı ile başlatılan incelemeye istinaden veri sorumlusu Mimar Sinan Güzel Sanatlar Üniversitesi’ne iletilen bilgi belge talebi yazısına Kanunda belirtilen yasal süre içinde yanıt verilmediği de dikkate alınarak yapılan değerlendirme neticesinde;

  • Yükseköğretim Kuruluna iletilen bilgi talebi yazısına cevaben Kurumumuza gönderilen yazıda üniversitelerin sınav sonuçlarını ne şekilde duyurması ve bu sonuçları ne kadar süre ile erişime açık tutması gerektiğine ilişkin düzenlenmelerin Üniversitelerin kendi mevzuatlarında yer aldığı ve konuya ilişkin karar verme yetkisinin de Üniversitelerde olduğu sonuç ve kanaatine varıldığının ifade edildiği,
  • “Mimar Sinan Güzel Sanatlar Üniversitesi Lisansüstü Öğretim Yönetmeliği” nin 8 inci maddesinin “Lisansüstü programlara kabul edilen öğrencilerin listesi enstitü yönetim kurulu kararı ile kesinleşir ve enstitü müdürlüğü tarafından duyurulur.” şeklinde düzenlendiği,
  • Söz konusu düzenlemenin somut olayda Mimar Sinan Güzel Sanatlar Üniversitesi tarafından sonuçların internette aramaya açık biçimde yayınlanarak, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık ve arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabilir tarzda bir duyuru yönteminin benimsenerek yerine getirildiği, ancak söz konusu duyuru yönteminin Kanun hükümleri çerçevesinde değerlendirildiğinde kişisel veriler bağlamında mahremiyet odaklı olmayıp, sınava giren bireylerin kişisel verilerinin herhangi bir işleme şartına dayanmaksızın üçüncü kişilerin de kolaylıkla ulaşabileceği şekilde açıklandığı kanaatine varıldığı,
  • Bu kapsamda, sınav sonuç duyuru sisteminin Üniversite tarafından tekrar gözden geçirilerek kimlik doğrulama yöntemi şeklinde sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı, ÖSYM’nin sonuç açıklama yöntemi gibi bir düzenleme ile kişisel verilerin paylaşımında mahremiyet odaklı bir anlayışı uygulamaya koyması gerektiği,

değerlendirmelerinden hareketle;

  • Mimar Sinan Güzel Sanatlar Üniversitesi’ne Kurumumuzca iletilen bilgi belge talebi yazısının Kanunda belirtilen yasal süre içinde yanıtlanmaması suretiyle ilgili Kurul Kararının gereğinin yerine getirilmemesinin Kanunun 15 inci maddesinin (3) numaralı fıkrasına aykırılık oluşturduğu dikkate alınarak, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına,
  • Öte yandan Mimar Sinan Güzel Sanatlar Üniversitesi sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde Üniversitenin talimatlandırılmasına

karar verilmiştir.

31.05.2019: "İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili"
Karar Tarihi : 31/05/2019
Karar No : 2019/166
Konu Özeti : İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kurul kararı

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,

Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili"
Karar Tarihi : 25/03/2019 ve 31/05/2019
Karar No : 2019/81 ve 2019/165
Konu Özeti : Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kurul Kararları

Konu Özeti

Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

1- 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

2- a) Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

Nitekim Danıştayın 2017/816 Esas sayılı kararında, davalı idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali istemiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka uygun bulunmadığı,

Yine Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,

Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiği,

Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği

dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,

b) Bunlara ek olarak, Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından el ve parmak izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiği iddiası ile ilgili olarak;

Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı ve özel nitelikli kişisel verilerinin aynı maddede

“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

hükümlerine yer verildiği

Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı,

6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,

Bu bağlamda, herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı,

dikkate alındığında bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği

bu itibarla ilgili veri sorumluları hakkında,

  • Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,
  • Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına;
  • Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına

karar verilmiştir.

31.05.2019: "Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/162
Konu Özeti : Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin şikâyet hakkında
  • Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı bir kısa mesajın (SMS) gönderilmesi üzerine ilgili kişinin kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusundan 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden bilgi talebinde bulunduğu ancak yasal süre içerisinde tarafına herhangi bir cevap verilmediği,
  • Kanun kapsamında veri sorumlusuna yaptığı başvuruya yasal süresi içerisinde cevap verilmemesi neticesinde de Kurula şikâyette bulunduğu ve bu başvurusunda (1) Veri sorumlusu nezdinde kendisine reklam/bildirim içerikli SMS gönderimi konusunda herhangi bir açık rızasının olup olmadığı, (2) kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, (3) kişisel verilerinin yurt içinde kimlere aktarıldığı, (4) kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, (5) gelen SMS’lerden Şirketin haberdar olup olmadığı hususlarında bilgi almak istediği,

şeklindeki talepler birlikte incelenmiş ve yapılan inceleme neticesinde,

- Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden , kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/159
Konu Özeti : Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kurul kararı

İlgili kişinin,

• Veri sorumlusu varlık yönetim şirketi tarafından ilgili kişiye ait telefon numarasına açık rızası olmaksızın kısa mesajların (SMS) gelmesi ve SMS’lerde ret bildiriminin bulunmaması, ayrıca Şirketin, kişisel verilerini nereden, kimlerden ve nasıl temin ettiğini bilmemesi,

• 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) ilgili maddelerine istinaden veri sorumlusuna yapmış olduğu başvurusuna herhangi bir cevap alamaması sebebiyle Kişisel Verileri Koruma Kuruluna (Kurul) şikayette bulunması üzerine yapılan inceleme neticesinde,

  • Şikayetçinin yapmış olduğu ve veri sorumlusu tarafından teslim alınan bilgi talebi başvurusuna 30 günlük yasal süre içerisinde cevap verilmediği iddiasına ilişkin olarak, veri sorumlusundan alınan cevabi yazı ekinde ilgili kişiye cevap verdiği, bu cevabi yazının Şikayetçi tarafından teslim alındığının veri sorumlusu tarafından Gönderi Takibi ile tevsik edildiği ve yazısında Şikayetçinin bilgi talebinde bulunduğu tüm hususlara cevap verdiği dikkate alınarak veri sorumlusu hakkında yapılacak bir işlem olmadığına,
  • Şikayetçinin geri ödemesi gerçekleştirilmeyen tahsili gecikmiş alacakların ilgili bankalar ile veri sorumlusu arasında akdedilmiş bulunan sözleşmeler kapsamında 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ve 6098 sayılı Türk Borçlar Kanunu (6098 sayılı Kanun) hükümleri çerçevesinde veri sorumlusu şirketçe devir ve temlik alındığı, Şikayetçinin kişisel verisi olan telefon numarası verisinin veri sorumlusunun, Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı Kanunun 186 ncı maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca Şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında Şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
  • Ancak 6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu, bu anlamda Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi ve bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi, hususları göz önünde bulundurularak, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 20.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/157
Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …... uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

  • Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
  • “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

karar verilmiştir.

25.06.2019: "Cathay Pasific Airway Limited'in veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/144
Konu Özeti : Cathay Pasific Airway Limited'in veri ihlal bildirimi hakkında bilgilendirme

Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle;

  • 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği,
  • Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
  • Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği,
  • Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı,
  • Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,
  • Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,
  • Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,
  • Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,
  • İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi yönetici konsoluna erişim sağlandığı,
  • Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,
  • Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,
  • Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik gösterdiği,
  • Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi (“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,
  • Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “ infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Kararı ile;

  • 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,
  • Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: "Marriot International Inc.'nin veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/143
Konu Özeti : Marriot International Inc.'nin veri ihlal bildirimi hakkında bilgilendirme

Marriott International Inc’in (Marriott) 04.12.2018 ve 28.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc'i (Starwood) devralma işlemi gerçekleştirdiği,
  • Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • Starwood misafir veritabanının tutulduğu ağa Temmuz 2014'ten beri yetkisiz erişim olduğu,
  • Starwood misafir veritabanına yetkisiz erişimin 08.09.2018'de tespit edildiği,
  • Starwood müşteri rezervasyon veri tabanının Marriott otelleri için değil sadece Starwood otellerindeki rezervasyonlar için kullanıldığı,
  • Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu,
  • Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriot tarafından tespit edildiği,
  • Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği,
  • İhlal hakkında otel müşterilerini aydınlatmak için, özel bir web sitesinin (info.starwoodhotels.com) kurulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı ile;

  • Starwood otel markaları arasında Türkiye’de faaliyet gösteren, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014'ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
  • Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu,
  • İhlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu, ancak aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediği,
  • Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu,
  • 2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

- Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, 

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: "Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/141
Konu Özeti : Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirme

Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği,
  • Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek, alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,
  • Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,
  • Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği,
  • Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği sonucuna varıldığı ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Kararı ile;

  • Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,
  • İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası, sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası, toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası, yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası, kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,
  • İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,
  • Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

27.05.2019: "Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında"
Karar Tarihi : 25/03/2019
Karar No : 2019/82
Konu Özeti :Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında
  • Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet,
  • Buna ilaveten Kuruma söz konusu market tarafından düzenlenen perakende satış fişlerinde, sadakat kart kullanımı ile ilgili Kanun kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL hizmet bedeli alındığı yolunda Kuruma intikal eden ihbarlar
  • Öte yandan, yukarıda yer verilen hususlara ilişkin olarak yapılan değerlendirme esnasında söz konusu sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Program kapsamında mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurtiçinde ve yurtdışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler

birlikte incelenmiş ve yapılan inceleme neticesinde,

  • Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,
  • Şirketten alınan savunmada, öncelikle Kanuna uygun üyelik onayları teyit edilemeyen müşterilere özel olarak 07.04.2018 tarihine kadar çeşitli kanallardan duyuru yapılan kişilerin daha öncesinde rızalarının alınmadığı değil, yıpranmış, eksik, imzasız vs. gibi durumlar ile karşılaşılması nedeniyle ileride doğabilecek hukuki ihtilaflarda ispat külfeti kapsamında söz konusu rızaların yenilenmesi yoluna gidildiğinin ifade edildiği, bu çerçevede, Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında, Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
  • “Aydınlatma Metni”nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,

Ayrıca, aydınlatma metninde Şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, Şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, Şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve Şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,

  • Öte yandan, Şirketin savunmasında kişisel verilerin anonim hale getirilerek sosyal paylaşım sitelerine aktarıldığı ifadelerine yer verildiğinin görüldüğü, bununla birlikte Kanunun 3 üncü maddesinde anonim hale getirmenin: kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlandığı, bu kapsamda, anonim veriler diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında, Şirket uygulamasının Kanunda yer alan anonimleştirme tanımı ile bağdaşmadığına bu nedenle anonimleştirmenin Kanuna uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
  • Son olarak, Şirket tarafından düzenlenen perakende satış fişlerinde, “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddiaları kapsamında Şirketten alınan savunmada, müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde çalışmadığı ve müşterilere sehven 1 kuruşluk bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda müşterilerden toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin Kanun kapsamında Kurumca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında"
Karar Tarihi : 01/03/2019
Karar No : 2019/47
Konu Özeti :Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında

Başvuranın, …. isimli şahsın (şikayet edilen) kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı, bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce ulaştığı iddiası hakkında Kuruma yaptığı başvurusunun incelenmesi neticesinde,

  • Şikayet edilen şahsın, başvuranın ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı iddiaları ile ilgili olarak, kişisel verilerin paylaşımının muhtelif mercilere yazılan dilekçelerden oluştuğu ve bu anlamda şikayet edilen tarafından kısmen ya da tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetine rastlanılmadığı, bu çerçevede şikayet edilenin veri sorumlusu olarak nitelendirilmesinin mümkün bulunmadığı, diğer taraftan şikayet edilen tarafından başvuran ve ailesine ait kişisel verilerin hukuka aykırı bir şekilde elde edildiği iddiasının Türk Ceza Kanunu kapsamında bir suç niteliği taşıdığı göz önüne alındığında söz konusu iddiaya ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Öte yandan, şikayet dilekçesinde şikayet edilenin, başvuranın kişisel verilerine İcra Müdürlükleri kanalıyla ulaştığı düşüncesinde olduğu iddiasının ilgili kişinin şahsi kanaatine dayandığı ve bu durumu tevsik edici herhangi somut bir bilgi veya belgeyle de tevsik edilmediği dikkate alındığında, söz konusu iddia ile ilgili olarak Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında"
Karar Tarihi : 14/02/2019
Karar No : 2019/23
Konu Özeti :Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbar hakkında

Teknik servis hizmeti veren veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi neticesinde,

  • Veri sorumlusundan alınan bilgide, ilgili internet adresi üzerinden kişilerin servise bıraktıkları cihazları ile ilgili olarak yapılan sorgulamada cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığının belirtilmesine rağmen yapılan incelemede söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin de sorgulamalar yapılabildiği, söz konusu sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak, anılan Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numarala fıkrasına aykırı olarak kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle, söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda, veri sorumlusu hakkında Kanunun 18 inci maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,
  • Öte yandan, söz konusu aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca, söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına

karar verilmiştir.

03.04.2019: “Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında” Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Kararı Özeti
Karar Tarihi : 24/12/2018
Karar No : 2018/156
Konu Özeti :Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında

İlgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususu ile ilgili Kişisel Verileri Koruma Kurumuna yaptığı başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddenin (1) numaralı fıkrasında Kurulun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen;

a) Belli bir konuyu ihtiva etmeyen,

b) Yargı mercilerinin görevine giren konularla ilgili olan,

c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan

ihbar veya şikâyetlerin incelemeye alınmayacağı hükme bağlanmıştır.

Diğer yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.

Bu kapsamda, kişinin ad-soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak çeşitli içerikli internet sitelerinde hakkında yorumların ve paylaşımların yapılmasına ilişkin şikayetini içeren ve yargıya intikal etmiş olan başvurunun değerlendirilmesi neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddenin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Öte yandan kişiye verilecek cevapta Kişisel Verilerin Korunması Kanunu kapsamında Kuruma yapılacak başvurularda izlenilmesi gereken yolun hatırlatılmasına

karar verilmiştir.

03.04.2019: “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti
Karar Tarihi : 05/12/2018
Karar No : 2018/142
Konu Özeti :Kişisel Verilerin Silinmesi Talebi Hakkında

Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin ancak “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza” edilebileceği hükme bağlanmıştır.

Diğer yandan Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümleri yer almaktadır.

5411 sayılı Bankacılık Kanununun 42 nci maddesi, alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı hükmünü haizdir.

Ayrıca Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17 nci maddesinin (1) numaralı fıkrasında da “Bankaların, müşterilerinden ve Resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dâhil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve Resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmüne yer verilmiştir.

Bu kapsamda, veri sorumlusu banka nezdinde bulunan kişisel verilerin silinmesi ile ilgili Kuruma yapılan başvuru hakkında; 6698 sayılı Kanunun ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42 nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurumumuzca yapılacak bir işlem bulunmadığına

karar verilmiştir.

03.04.2019: “Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/11/2018 tarihli ve 2018/131 sayılı Kararı Özeti
Karar Tarihi : 19/11/2018
Karar No : 2018/131
Konu Özeti :Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında

Bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından Kişisel Verileri Koruma Kurumuna (Kurum) yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilmiş, “Tanımlar” başlıklı 3 üncü maddesinin (d) bendinde de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu sebeple, gerçek kişilere ait veriler Kanun kapsamında bulunurken, tüzel kişilere ait veriler ise Kanun kapsamında bulunmamaktadır.

Kanunun ilgili kişilerin haklarının düzenlendiği 11 nci maddesine göre ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme ve kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkı bulunmaktadır. Ayrıca söz konusu madde metninden de bu hakların, gerçek kişiye ait kişisel verileri kapsadığı ve bu hakkın da bizzat ilgili kişi veya yasal temsilcisi tarafından kullanılabileceği anlaşılmaktadır.

Bu çerçevede,

  • Kurumumuza intikal eden söz konusu başvuruda yer alan, tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun 2 nci maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine,
  • Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil Şirket tüzel kişiliği tarafından talep edilmesi sebebiyle söz konusu başvurunun Kanunun 11 ve 13 inci maddeleri kapsamında değerlendirilemeyeceğine

karar verilmiştir.

03.04.2019: “Kurul Kararının gereğinin süresi içinde yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/118 sayılı Kararı Özeti
Karar Tarihi : 16/10/2018
Karar No : 2018/118
Konu Özeti :Kurul Kararlarının Kanunun 15 inci Maddesi Uyarınca 30 Günlük Süre İçerisinde Yerine Getirilmemesi Hakkında

İlgili kişinin, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna yaptığı başvuruya tatminkar bir cevap alamaması üzerine Kişisel Verileri Koruma Kurumuna (Kurum) yaptığı başvuru neticesinde, konu ile ilgili Kurul tarafından alınan kararın ilgili veri sorumlusu tarafından süresinde yerine getirilmemesi hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15 inci maddesinin (5) numaralı fıkrası, şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurulun, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği, bu kararın da tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceği hükmünü haizdir.

Kanunun “Kabahatler” başlıklı 18 inci maddesinin (1) numaralı fıkrasının (c) bendinde ise Kanunun 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği (3) numaralı fıkrasında ise birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği hüküm altına alınmıştır.

Şikâyetçinin Kurula yapmış olduğu başvurunun incelenmesi neticesinde alınan Kurul Kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir. Bu kapsamda veri sorumlusunun, Kurul Kararı kapsamında 16.08.2018 tarihinde şikâyetçiye bilgi verdiği, bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği görülmekte olup, Şirket tarafından ilgili mevzuat hükümleri çerçevesinde en geç 01.08.2018 tarihinde yapılması gereken işlemin 16.08.2018 tarihinde yapıldığı; diğer yandan şikâyetçinin, veri sorumlusu nezdinde bulunan kişisel verilerinden asgari saklama süresi tamamlanmış olanlarının Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesinin (1) numaralı fıkrası gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğünün dolmasını müteakiben yapılacak periyodik imha işlemi dönemlerinde silinmesine ve gerçekleşecek silme işlemleri hakkında Şikâyetçiye bilgi verilmesi ayrıca, söz konusu kişisel verilerin saklama amacı dışında işlenmemesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiş olmasına rağmen Şirketin şikâyetçiyi muhatap 16.08.2018 tarihli yazısında Kurul Kararının bu maddelerine ilişkin herhangi bir açıklamada bulunmadığı tespit edilmiştir.

Bu çerçevede kamu kuruluşu olarak değerlendirilen veri sorumlusuna tebliğ edilen Kurul Kararının gereğinin Kanunun 15 inci maddesinin (5) numaralı fıkrasında belirtilen 30 günlük yasal süre içerisinde yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedenleriyle;

  • Şirket hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde işlem tesis edilmesine,
  • Şikâyetçinin, Şirket nezdinde saklanmakta olan verileri ile ilgili olarak Kurul Kararı kapsamında yapılacak iş ve işlemler hakkında bilgilendirilmesi hususunda Şirkete talimat verilmesine

karar verilmiştir.

03.04.2019: “Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında” Kişisel Verileri Koruma Kurulunun 13/09/2018 tarihli ve 2018/106 sayılı Kararı Özeti
Karar Tarihi : 13/09/2018
Karar No : 2018/106
Konu Özeti :Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği

İlgili kişinin görevi nedeniyle imzalamış olduğu evrakın kimliği belirsiz kişi/kişilerce internet ortamında paylaşılması üzerine Kuruma yapmış olduğu başvuru hakkında,

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kapsam” başlıklı 2 nci maddesinde, Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı ile “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmektedir.

Bu kapsamda;

Şikâyetçinin başvurusu incelendiğinde, kişinin görevi nedeniyle imzalamış olduğu bir evrakın hukuka aykırı bir şekilde elde edilip kimliği belirsiz kişi veya kişilerce internet ortamında paylaşıldığı ve aynı kullanıcı ismiyle Şikâyetçinin isim ve soy isminin baş harflerinin yazılarak kişi hakkında bir takım iftira içerikli metinlere yer verildiği anlaşılmış olup, kimliği belirsiz kişi veya kişilerin veri sorumlusu olarak tanımlanamayacağı

Kanunun “Suçlar” başlıklı 17 nci maddesinin (1) numaralı fıkrası gereği, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı

hususlarından hareketle, şikâyete konu olayın Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırması ve konuya ilişkin gerekli hukuki işlemlerin tesisini teminen konunun Şikâyetçi tarafından yargıya intikal ettirilmiş olması nedenleriyle Şikâyetçi hakkında ilgili uygulama üzerinden yapılan paylaşımlar kapsamında Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.

03.04.2019: “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/90
Konu Özeti :Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili

Online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinin Kurul tarafından re’sen incelenmesini teminen yapılan başvuru neticesinde,

Online platformda iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir.

Bu kapsamda;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hükme bağlanmıştır

Ayrıca, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.

Tüm bu hususlar bir arada değerlendirildiğinde; söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığı, bu itibarla aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

18.02.2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı Özeti
Karar Tarihi : 28/06/2018
Karar No : 2018/69
Konu Özeti : Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

18.02.2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/91
Konu Özeti :Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

02.08.2018: Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)

Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

- İlgili mevzuatta yer almaması

- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması

a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.

02.08.2018: lgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;

Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;

Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

- Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

- Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

- Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden 6698 sayılı Kişisel Verilerin Korunması Kanununun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.


Yorum Yaz