Mevzuat ve Kurul Kararları

Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerine buradan ve duyurulara buradan erişebilirsiniz.

Duyurular:

05/02/2025: “Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu"

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde standart sözleşmeler, kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği bir uygun güvence sağlama yöntemi olarak öngörülmüş olup, Kanunun 9 uncu maddesinin beşinci fıkrasında standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kurumumuza bildirileceği hükme bağlanmıştır.

Bu kapsamda yurt dışına kişisel veri aktarımına ilişkin Kurumumuza iletilen Standart Sözleşmelerin incelenmesi neticesinde tespit edilen ve dikkat edilmesi gereken hususlara aşağıda yer verilmiştir:

Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur. Tarafların birinin ya da her ikisinin geçerli imzasının bulunmaması halinde standart sözleşme geçerli olmayacaktır.
Standart sözleşmede, aktarım tarafları veya tarafları temsile ve imzaya yetkili kişiler tarafından atılacak imzaların, 6098 sayılı Türk Borçlar Kanunu’nun imzaya ilişkin düzenlemelerine uygun olması gerekmektedir.
Standart sözleşmelerin yabancı dilde de akdedilmesi halinde hem veri aktaranın hem de veri alıcısının Türkçe sözleşme metni üzerinde imzalarının bulunması gerekmektedir. Standart sözleşmenin çift sütunlu olarak Türkçe ile diğer başka bir dilde düzenlenmiş olması halinde de hem veri aktaranın hem de veri alıcısının imzalarının Türkçe metnin yer aldığı sütunda mutlaka bulunması gerekmektedir.
Veri aktaran veya veri alıcısı adına standart sözleşmeyi imzalayan kişilerin temsile ve imzaya yetkili olduklarına dair tevsik edici belgelerin, standart sözleşme ile birlikte Kuruma sunulması gerekmektedir. Kuruma sunulan tevsik edici belgelerde standart sözleşmeyi imzalayan kişilerin isimlerinin yer almaması halinde sözleşme yetkisiz kişiler tarafından imzalanmış olacağından standart sözleşme geçerli sayılmayacaktır.
Standart sözleşme metnindeki taraf isimlerinde eksiklik olmaması ve sözleşme metninde yer alan taraf isimleri ile tevsik edici belgelerde yer alan taraf isimleri arasında farklılık olmaması gerekmektedir.
Standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Standart Sözleşme Bildirim Modülü vasıtasıyla Kuruma bildirilmesi gerekmektedir. Bu kapsamda bildirim yükümlülüğünün süresinde yerine getirilip getirilmediğinin tespit edilebilmesi bakımından aktarım taraflarının her ikisinin de imza tarihlerini standart sözleşme metni üzerinde belirtmeleri gerekmektedir.
Aktarım taraflarının adres, irtibat noktası, imzacı isimleri veya benzeri bilgilerinin standart sözleşme metninde açıkça belirtilmesi gerekmektedir.
Kuruma gönderilecek standart sözleşmelerde (özellikle KEP iletisi olarak gönderilmesi halinde) sözleşme metninin eklenmesinin unutulmaması veya gönderilen standart sözleşmenin sayfalarında eksiklik bulunmaması gerekmektedir.
Kuruma yapılacak bildirimlerde yabancı ülke makamlarınca düzenlenmiş resmî belgelere de yer verilmesi mümkün olduğundan, yabancı ülkelerde düzenlenmiş resmî belgeler üzerindeki imzanın doğruluğunun, belgeyi imzalayan kişinin unvanının veya gerektiğinde bu belge üzerindeki mühür veya damganın aslı ile aynı olduğunun teyidi gerekebilecektir. Normal şartlar altında, bu teyit işleminin ilgili ülkede görev yapan ülkemiz konsolosluk veya diplomasi memurları tarafından gerçekleştirilmesi gerekmektedir. Ancak, ülkemizin de taraf olduğu Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi çerçevesinde bu Sözleşmeye taraf devletlerde düzenlenmiş resmî belgeler söz konusu tasdik işleminden bağışık tutulmuş olup; apostil şerhinin varlığı yeterli olacaktır. Dolayısıyla, istisnai bir düzenlemenin veya uluslararası anlaşmanın yokluğu hâlinde Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf bir ülkede düzenlenmiş resmî belgelerin apostil şerhi ile birlikte Kuruma sunulması gerekmektedir. Hem Sözleşmeye taraf olmayan hem de herhangi bir muafiyetten yararlanmayan ülkeler bakımından ise ilgili ülke makamları tarafından tanzim edilen belgelerin tasdik işlemlerinin tamamlanarak Kuruma sunulması gerekmektedir.
Kuruma sunulacak tevsik edici belgeler ile yabancı dildeki her belgenin, noter onaylı Türkçe çevirisi ile birlikte sunulması gerekmektedir.
Standart sözleşmede, aktarım taraflarının imzaları daha ileri bir tarihte tamamlanmış olmasına rağmen sözleşmenin geçmişe dönük olarak yürürlüğe gireceğine dair ‘yürürlük tarihi:…’ vb. ibarelere yer verilmemelidir.
Aktarım taraflarının, kişisel veri aktarımı bağlamında uygun standart sözleşme tipini belirledikten sonra yalnızca seçimlik veya alternatif içerikli standart sözleşme maddeleri üzerinde değişiklik yapabilmeleri mümkündür. Standart sözleşme metinlerinin, Kurul tarafından ilân edildiği şekliyle kişisel verilerin yurt dışına aktarılması bakımından uygun güvenceleri sağlayacağının kabul edildiği dikkate alındığında, seçimlik veya alternatif içerikli maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmamalıdır.

Kamuoyuna saygıyla duyurulur.

25/10/2024: “Standart Sözleşme Bildirim Modülü"

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 34 üncü maddesiyle değişiklik yapılmıştır. Değişiklik kapsamında, “standart sözleşmeler” kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği bir uygun güvence sağlama yöntemi olarak öngörülmüştür.

Bununla birlikte, Kanunun 9 uncu maddesinin beşinci fıkrasında standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kurumumuza bildirileceği hükme bağlanmıştır. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin (Yönetmelik) 14 üncü maddesinin beşinci fıkrasında ise standart sözleşme bildirimlerinin fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle gerçekleştirilebileceği düzenlenmiştir.

Bu çerçevede, Kişisel Verileri Koruma Kurulunun 17.10.2024 tarihli ve 2024/1793 sayılı kararı ile, veri sorumlusu ve veri işleyenlerin bildirim yükümlülüklerini internet üzerinden daha hızlı ve etkin bir biçimde yerine getirebilmeleri amacıyla hazırlanan “Standart Sözleşme Bildirim Modülü” vasıtasıyla bildirimlerin yapılabilmesine karar verilmiş olup; söz konusu modül ilgililerin kullanımına sunulmuştur.

Kamuoyuna saygıyla duyurulur.

13/09/2024: “Kamuoyu Duyurusu"

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 22 inci maddesinde, Kurulun görev ve yetkileri arasında; “…Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak”, “Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak” ve “Bu Kanunda öngörülen idari yaptırımlara karar vermek…” bulunmaktadır.

Bununla birlikte; Kanunun veri güvenliğine ilişkin yükümlülükler başlıklı 12 nci maddesinin (1) numaralı fıkrasında “veri sorumlusunun;
   a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
   b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
   c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri sorumlularının, Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 Sayılı Kararı gereğince ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirme yükümlülüğü bulunmaktadır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amaç, ilgili kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.

Veri sorumlusunun Kanunun 12 inci maddesinin (5) numaralı fıkrası gereğince bildirim yükümlülüğünü yerine getirmesinden sonra Kurul tarafından inceleme kararı alınabilmektedir.

Diğer taraftan Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda, görev alanına giren konularda Kanunun 15 inci maddesinin (1) numaralı fıkrası hükmü gereğince gerekli incelemeyi resen yapmaktadır.

Muhtelif haber kanallarında ve sosyal medya platformlarında 108 milyon vatandaşımızın verilerinin çalındığına ilişkin haberler yer almakta olup Kurumumuza konuya ilişkin olarak intikal etmiş herhangi bir veri ihlali bildirimi bulunmamaktadır.

Medyada daha önce de benzer haberlerin yer almış olması sebebiyle özellikle pandemi sürecinde meydana geldiği iddia edilen veri ihlali haberleri ile ilgili halihazırda Kişisel Verileri Koruma Kurulu tarafından alınmış resen inceleme kararı bulunmakta olup, ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edilmektedir.

Kamuoyuna saygıyla duyurulur.

26/08/2024: “Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla “Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi” Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri” Hakkında Kamuoyu Duyurusu”

Kurumumuza yapılan muhtelif şikayetlerde, ilgili kişilerin telefon numaralarını hiçbir şekilde paylaşmadıkları halde araştırma şirketlerince istatistiksel araştırma için arandıkları, yapılan aramada telefon numaralarının nasıl elde edildiğine ilişkin taraflarına aydınlatma yapılmadığı, veri sorumlusuna yaptıkları başvuruda ise telefon numaralarının rastgele ve otomatik olarak sistem/yazılım vasıtası ile üretildiğinin ve aramalar için kullanılan yöntemin “rastgele numara çevirme ile yapılan telefon mülakatı” yöntemi olarak bilinen ve dünya çapında uygulanan bir istatistik metodolojisi olduğunun belirtildiği ifade edilerek telefon numarasının işlenmesi için açık rıza alınmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun) 5’inci maddesindeki diğer işleme şartlarından herhangi birine de dayanılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Bu kapsamda, yürütülen incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

Kanun’un 28’inci maddesinin birinci fıkrasının (b) bendinde, “Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.” halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağının düzenlendiği, söz konusu maddenin, resmi istatistik amacıyla kişisel veri işlenmesi durumu veya anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi durumu olmak üzere iki ayrı durumda uygulanabileceği,
Resmî istatistiğin, 5429 sayılı Türkiye İstatistik Kanunu’nun (5429 sayılı Kanun) 2’nci maddesinin (g) bendinde “Türkiye İstatistik Kurumu veya Resmî İstatistik Programında yer alan konularda istatistik üretecek kurum ve kuruluşlar tarafından derlenen verilerin, kitle özelliklerini ortaya koymak amacıyla işlenmesi ile elde edilen bilgi” olarak tanımlandığı, Aynı Kanun’un 2’nci maddesinin (e) bendinde, kurum ve kuruluşların “Cumhurbaşkanlığı ve bakanlıklar ile bunların bağlı, ilgili ve ilişkili kuruluşlarını, mahallî idareler ve bunların bağlı ve ilgili kuruluşları ile birlik ve şirketlerini, Türkiye Cumhuriyet Merkez Bankası, İstanbul Menkul Kıymetler Borsası ve üniversiteler de dâhil olmak üzere, tüzel kişiliği haiz enstitü, teşebbüs, teşekkül, birlik, döner sermaye, fon ve sair adlarla kurulmuş olan diğer kurum ve kuruluşlar ile kamu kurumu niteliğindeki meslek kuruluşları” olarak belirlendiği,
Şikâyetlere konu olay tarihlerinde yürürlükte olan 31.12.2016 Tarihli ve 29935 (2. Mükerrer) Sayılı Resmî Gazete’de yayımlanan Resmi İstatistik Programı (2017-2021)” nın “Resmi İstatistik İlkeleri” başlığında, Program kapsamındaki kurum ve kuruluşların resmi istatistik üretiminde ihtiyaç duydukları bilgileri sağlamak amacıyla alan uygulaması ve araştırma aşamalarını özel sektör yüklenici firmalarına yaptırabileceği, özel sektör yüklenici firmalarının da Resmi İstatistik Prensiplerine ve gizlilik hükümlerine uymakla yükümlü olduğu,
12.02.2023 tarihli ve 32102 sayılı Resmî Gazete’de yayımlanan Resmî İstatistik Programı Hazırlama ve Uygulama Usul ve Esasları Hakkında Yönetmelik’in 8 ve 9’uncu maddelerinde, resmi istatistik programının çalışma grupları eliyle yürütüleceğinin belirtildiği, Yönetmeliğin 9’uncu maddesinin dördüncü fıkrasında çalışma grubuna özel sektör temsilcilerinin de dahil edilebileceğinin belirtildiği,
5429 sayılı Kanun’un 6’ncı maddesinin ikinci fıkrasında “Kurum ve kuruluşların Programda yer almayan istatistikî konulardaki çalışmaları ile gerçek kişiler veya özel hukuk tüzel kişiliğine sahip kuruluşlarca yapılan sayım veya araştırmalara ait sonuçlar resmî istatistik olarak kabul edilmez.” hükmünün yer aldığı,
Veri sorumluları tarafından Resmi İstatistik Programı kapsamında bir istatistiki araştırma yapıldığı yönünde tevsik edici somut bir bilgi veya belge sunulmadığından işlemenin “resmi istatistik amacıyla kişisel veri işlenmesi” kapsamında 6698 sayılı Kanun hükümlerinden istisna sayılamayacağı,
Diğer taraftan anonim verinin “başından beri belirli bir kişiyle ilişkilendirilmesi söz konusu olmayan veri”; anonim hale getirilmiş verinin ise “daha öncesinde belirli bir kişiyle ilişkilendirilmiş ancak hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmiş veri” olarak tanımlanabileceği,
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “Kişisel verilerin anonim hale getirilmesi” başlıklı 10’uncu maddesinin, “(1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. (2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. (3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” hükmünü haiz olduğu,
Kişisel verinin, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgileri de kapsadığı, bir kişinin belirli veya belirlenebilir olmasının, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiği, yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı dolayısıyla kişisel verinin, ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle birlikte herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamakta olduğu; kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin kişisel veri olarak kabul edilmesi gerektiği,
Şikâyetlere konu olaylarda araştırma şirketleri tarafından yapılan aramalarda anket yapılması için ilgili kişinin açık rızasının istendiği ve ilgili kişi açık rıza vermezse görüşmenin sona erdirildiği, bir daha aranmama talepleri bağlamında söz konusu numaranın aranmayacaklar listesine kaydedildiği, öte yandan açık rıza verilmeyen durumlarda; yapılan telefon görüşmesinin ses kaydının işlendiği, ilgili kişinin aranma tarihi, zamanı, arayan numara ve aranan numara şeklindeki trafik logunun, aranmayacaklar listesine kaydedilmek üzere telefon numarasının işlendiği ve söz konusu verilerin takma adlandırma (Pseudonymisation) yöntemiyle 2 yıl süreyle muhafaza edildiği tespit edilmiş olup takma ad kullanımıyla işlenen kişisel veriler anonim hâle getirilmediği için kişisel veri niteliğini koruduğu göz önünde bulundurulduğunda araştırma süreçlerinde anonimleştirilmeden yapılan kişisel veri işleme faaliyetlerinde 6698 sayılı Kanun hükümlerine uyulması gerektiği, söz konusu işlemelerin “anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi” istisnası kapsamında olmayacağı,
Veri sorumlularının 6698 sayılı Kanun’un 12’nci maddesi gereğince kişisel veri işleme süreçlerinde Kanun’a uyumun sağlanması ve verilerin korunması için uygun teknik ve idari tedbirleri alması gerektiği, teknik ve idari tedbirler alınırken tasarımla veri koruma (privacy by design), varsayılan ayarlarla veri koruma (privacy by default) ilkelerine uyulması gerektiği, bu kapsamda yapılan işleme faaliyetinin 6698 sayılı Kanun’un 4’üncü maddesinde yer alan genel ilkelere uygunluğunu sağlayacak işleme faaliyetine özgü teknik ve idari tedbirlerin tasarlanması ve veri sorumlusunun kullandığı yazılımın fabrika ayarlarını sadece işlemenin amacı için gerekli olan işleme faaliyetleri yapacak şekilde tedbirlerin alınması gerektiği,
6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında kişisel veri işlenebilmesi için,
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
hususlarının somut olay bakımından değerlendirilmesi gerektiği,
Telefon numaralarının kamuoyu araştırmalarında kullanılan “rastgele numara çevirme ile yapılan telefon mülakatı” yöntemi kapsamında türetildiği ve bir yerden elde edilmediği, türetilen numaranın görüşmeyi yapan personel tarafından görülmediği, ilgili kişinin telefon numarasının aranması suretiyle kişisel veri işleme faaliyetine başlandığı, bunun yanı sıra araştırma için gerekli ve sınırlı olduğu ölçüde ilgili kişilerin aranma tarihi ve süresi, arayan numara ve aranan numara şeklindeki trafik logunun, ilgili kişilerin bir daha aranmama talepleri bağlamında aranmayacaklar listesine telefon numaralarının işlenmesi ile görüşmenin ses kaydının alınması suretiyle yapılan kişisel veri işleme faaliyetlerinin araştırmanın kalite kontrol kapsamında denetlenmesi, araştırmacının yükümlülüklerini yerine getirmesi ve hukuki uyuşmazlık halinde yükümlülüklerin yerine getirildiğini ispat etmesi amaçlarıyla Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun kabul edilebileceği,
İlgili kişilerle temas kurulduğu ilk anda asgari olarak aramanın kim tarafından yapıldığı, ilgili kişilerin hangi kişisel verilerinin işlendiği (görüşme kayıt altına alınıyorsa en başta bu husus belirtilerek telefon numarası, arama trafik logu gibi işlenmekte olan tüm kişisel veriler hakkında bilgi verilmesi), ilgili kişilerin telefon numarasının rastgele numara çevirme yöntemi ile üretildiği ve işlemenin amacı hususlarında aydınlatma yapılması gerektiği, aydınlatmada yer alan diğer hususlara ulaşabilecek kanalın belirtilmesi suretiyle katmanlı aydınlatma yapılabileceği,
Aydınlatma yapılmasını müteakiben ilgili kişilerin açık rıza vermesi halinde telefon görüşmesine devam edilerek kişisel verilerin işlenebileceği

hususlarında kamuoyunun bilgilendirilmesine karar verilmiştir.

Kamuoyuna saygı ile duyurulur.

28/05/2024: “Taahhütname Başvurusu Hakkında Duyuru”

Huawei Telekomünikasyon Dış Ticaret Limited Şirketi tarafından Kurumumuza sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kişisel Verileri Koruma Kurulu (Kurul) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve usul ve esasa dair herhangi bir eksikliğin bulunmadığı görülmüş olup 28.05.2024 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

17/05/2024: “Standart Sözleşme ve Bağlayıcı Şirket Kurallarına İlişkin Taslak Dokümanlar Hakkında Kamuoyu Duyurusu”

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinin 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunla değişik ve 1/6/2024 tarihinde yürürlüğe girecek hâlinin on birinci fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurumumuz tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanarak 9/5/2024 tarihinde kamuoyunun görüşlerine sunulmuştur.

Bu defa, Kişisel Verileri Koruma Kurulunun 16/5/2024 tarihli ve 2024/763 sayılı Kararı ile söz konusu maddenin dördüncü fıkrası uyarınca kişisel verilerin yurt dışına aktarılması bakımından uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak dokümanların kamuoyunun görüşüne açılmasına karar verilmiştir.

Bu kapsamda taslak dokümanlara ilişkin görüş ve değerlendirmelerin işlenebilir formatta 27/5/2024 tarihine kadar aktarim@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

1- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 1 (Veri Sorumlusundan Veri Sorumlusuna)

2- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 2 (Veri Sorumlusundan Veri İşleyene)

3- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 3 (Veri İşleyenden Veri İşleyene)

4- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 4 (Veri İşleyenden Veri Sorumlusuna)

5- Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

6- Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar - Yardımcı Kılavuz

7- Veri İşleyenler İçin Bağlayıcı Şirket Kuralları Başvuru Formu

8- Veri İşleyenler İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar - Yardımcı Kılavuz

09/05/2024: “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı Hakkında Kamuoyu Duyurusu”

Bilindiği üzere, 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 34 üncü maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde değişiklik yapılmıştır. Söz konusu değişiklik 1/6/2024 tarihinde yürürlüğe girecektir.

6698 sayılı Kanunun 9 uncu maddesinin yeni halinin on birinci fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurumumuz tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanmıştır.

Kişisel Verileri Koruma Kurulunun 9/5/2024 tarihli ve 2024/762 sayılı Kararı ile Yönetmelik Taslağına ilişkin olarak kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda ilgili görüş ve değerlendirmelerin Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmelik ekindeki Görüş Formuna uygun olarak ve işlenebilir formatta 20/5/2024 tarihine kadar hukuk@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

1- Yönetmelik Taslağı

2- Genel Gerekçe

3- Görüş Formu

12/03/2024: “6698 Sayılı Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler Hakkında Kamuoyu Duyurusu”

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununa yönelik hükümler de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. Söz konusu Kanunun 33 ilâ 36 ncı maddeleri ile 6698 sayılı Kanunun 6 ncı, 9 uncu ve 18 inci maddelerinde değişiklik yapılmakta ve 6698 sayılı Kanuna yeni bir geçici madde eklenmektedir.

Yapılan değişiklikler 1/6/2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir.

Bu çerçevede, söz konusu geçiş sürecinde veri sorumluları ve veri işleyenlerin yeni düzenlemelere uyum sağlamak adına hazırlık çalışmalarını titizlikle ve ivedilikle yürütmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

13/11/2023: “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi”

Bilindiği üzere, Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespitinden hareketle söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlamıştır. Ancak mevcut durumda, benzer yöntemlerin yaygın olarak uygulanmaya devam edildiği Kuruma intikal eden ihbar ve şikayetlerden anlaşılmış olup söz konusu kamuoyu duyurusunda güncelleme yapılması gereği hasıl olmuştur.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, (2) numaralı fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanun’un 3’üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerekmektedir. Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.

Öte yandan, Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde;

Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi

önem arz etmektedir. Kamuoyuna saygıyla duyurulur.

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.

Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

27/03/2023: “Vekaleten Yapılacak Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Kamuoyu Duyurusu”

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulu tarafından sonuçlandırılmaktadır.

Halihazırda şikayet dilekçeleri Kişisel Verileri Koruma Kurulu’na elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr adresinde hizmete sunulan “Şikayet Modülü” aracılığıyla elektronik ortamda da iletilebilmektedir.

Bu kapsamda, vekaleten yapılacak şikayetlerin daha hızlı ve etkin bir şekilde Kurumumuza iletilebilmeleri ve takip edebilmelerini teminen 27.03.2023 tarihi itibariyle “Şikayet Modülü” sistemi avukatların da vekaleten yapacakları şikayetleri iletebileceği şekilde güncellenmiş olup, söz konusu şikayet modülüne https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

09/02/2023: “Depremden Etkilenen İlgili Kişilere Ve Veri Sorumlularına Yönelik Kamuoyu Duyurusu”

06.02.2023 tarihinde Kahramanmaraş’ın Pazarcık ve Elbistan ilçeleri merkezli olarak gerçekleşen iki büyük deprem felaketi nedeniyle 08.02.2023 tarihli Resmî Gazetede yayımlanan 6785 sayılı Cumhurbaşkanı Kararı ile Anayasanın 119 uncu maddesi ile 2935 sayılı Olağanüstü Hal Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendine göre Adana, Adıyaman, Diyarbakır, Gaziantep, Hatay, Kahramanmaraş, Kilis, Malatya, Osmaniye ve Şanlıurfa illerinde 08.02.2023 Çarşamba günü saat 01.00’dan itibaren üç ay süreyle olağanüstü hâl ilan edilmesine karar verilmiştir.

Deprem bölgesindeki arama-kurtarma çalışmaları devam ederken kamu kurumları, kendi sorumluluk alanlarıyla ilgili ilave tedbirler almakta ve kamuoyuna duyurmaktadır. Bu itibarla Kurumumuz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında şikâyet, ihbar, veri ihlal bildirimleri ve diğer yükümlülükler hakkında veri sorumluları ve ilgili kişilerce dikkate alınması gereken sürelere ilişkin olarak açıklama yapılması gereği ortaya çıkmıştır.

Bu çerçevede, Kişisel Verileri Koruma Kurulu tarafından

Deprem sebebiyle olağanüstü hâl ilan edilen illerde bulunan veya diğer illerde bulunmakla birlikte depremden etkilenen ilgili kişiler ya da veri sorumluları,
Deprem sebebiyle olağanüstü hâl ilan edilen il barolarına bağlı olarak görev yapan veya diğer il barolarına bağlı olarak görev yapmakla birlikte depremden etkilenen avukatlar tarafından temsil edilen ilgili kişiler ya da veri sorumluları

açısından Kanunda ve ilgili alt düzenlemelerde yer alan sürelerin değerlendirilmesinde depremin sebep olduğu olağanüstü koşulların gözetileceği hususu kamuoyuna saygıyla duyurulur.

24/08/2022: “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Kamuoyu Duyurusu

“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde genetik verileriler özel nitelikli kişisel veriler olarak sayılmaktadır. Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olup toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.

Bu çerçevede genetik verilerin işlenme süreçlerinin önemi dikkate alınarak Kişisel Verileri Koruma Kurumu tarafından “GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER TASLAĞI” hazırlanmıştır.

Kurulun 16.08.2022 tarih ve 2022/848 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Rehber Taslağı için lütfen tıklayınız...

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

16/06/2022: “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Kamuoyu Duyurusu

“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

Günümüzde müşteri bağlılığını geliştirmeye yönelik sadakat programları pek çok işletme tarafından uygulanmakta ve bu programlar yoluyla veri sorumluları tarafından ilgili kişilerin muhtelif kişisel verileri işlenmektedir.

Sadakat programları yoluyla işlenen kişisel verilerin değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu tarafından “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” hazırlanmıştır.

Kurulun 18.05.2022 tarih ve 2022/514 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 16.07.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile sadakat@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

Rehber Taslağı için lütfen tıklayınız.

21/04/2022: VERBİS'e kayıt ve Bildirim Yükümlülüğü'ne İlişkin Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 16’ncı maddesinde “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Geçici 1 inci maddesinin (2) numaralı fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.

Bu hükme istinaden Kurulun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.

Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir.

Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.

Kamuoyuna saygıyla duyurulur.

15/02/2022: Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.

17/12/2021: Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinde düzenlenmiş olup, buna göre Kanunun 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanunun 3 üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Öte yandan Kanunun 10 uncu maddesi çerçevesinde, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler neticesinde;

Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması

önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: İş Vaadi Konulu TCK Kapsamındaki Kişisel Veri İhlallerine İlişkin Kamuoyu Duyurusu

Son zamanlarda, ilgili kişilerin muhtelif kanallardan veya sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde bu kişilerden T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurumumuza çok sayıda ihbar ve şikâyet intikal etmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı hükmü yer almaktadır. Bu kapsamda 5237 sayılı Türk Ceza Kanunu uyarınca hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında hapis cezası uygulanacağı belirtilmiştir. Bu çerçevede bahsi geçen dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu benzer şikâyetlere konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırabileceği ve 6698 sayılı Kanun’un 15’inci maddesi gereğince yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurmaları gerekmektedir.

Diğer taraftan, Kurumumuza aynı konuda gelen başvurularda yaşanan artış nedeniyle Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1236 sayılı Kararı ile vatandaşların farkındalık düzeyinin arttırılmasını teminen kamuoyu duyurusunda bulunulmasına karar verilmiştir. Bu minvalde, vatandaşların telafisi güç maddi veya manevi zararlarla karşılaşmamasını teminen güvenilir olmayan gerçek veya tüzel kişilerin iş ilanlarına itibar etmemeleri ve kişisel verilerini paylaşmamaları yönünde azami dikkat ve özen göstermesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: Veri Koruma Görevlisi Belgelendirme Programı (sertifikasyon)

Kurumumuz tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında yapılacak olan sertifikasyon faaliyetine ilişkin olarak Veri Koruma Görevlisi Belgelendirme Programı hazırlanmıştır. 25.11.2021 tarihli ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile Veri Koruma Görevlisi Belgelendirme Programı'nın yürürlüğe konulmasına ve Kurumumuzun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Veri Koruma Görevlisi Belgelendirme Programı için tıklayınız..

05/11/2021: Belediyeler

Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu talepler kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan 25/02/2021 tarih ve 2021/140 sayılı Karar ile “…bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı olduğu değerlendirilmekle birlikte bahse konu uygulamalara ilişkin olarak belirli bir belediye hakkında Kurumumuza iletilmiş herhangi bir şikayet bulunmadığı dikkate alındığında bir hak mahrumiyetinin oluşmadığı, ancak Kanuna aykırı uygulamaların devam ediyor olması nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine

- Diğer taraftan Belediyelerce sunulan söz konusu uygulamaların yeniden düzenlenmesi hususunda Belediyelere 3 (üç) ay süre verilmesine ve Kanunun 18 inci maddesinde yer alan yaptırımlara ilişkin hükümlerin Belediyelere hatırlatılmasına…”

karar verilmiştir. İlgili Karar kapsamında 09.04.2021 tarih ve 52863 sayılı yazımız ile tüm büyükşehir belediyelerine, il belediyelerine, ilçe belediyelerine ve belde belediyelerine “söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına” karar verildiği, “Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağı” hususları iletilmiştir.

Bilindiği üzere, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Bu kapsamda başkalarının kolayca ulaşabileceği örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak kabul edilirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu çerçevede 1398 adet büyükşehir belediyesi ile bağlı ilçeleri, il belediyeleri ile bağlı ilçe ve belde belediyelerinin internet siteleri üzerinden verdikleri emlak vergisi borç sorgulama ve ödeme-hızlı ödeme sistemlerinde yapılan incelemede çift faktörlü doğrulamaya bakılırken ilk doğrulamanın TC kimlik no, ad soyad, vergi no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş üyelik, SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilip gerçekleştirilmediği, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemlerin varlığı incelenmiştir.

Kurulun 25.02.2021 tarih ve 2021/140 sayılı Kararı ile belirlenen 3 aylık sürenin dolmasını müteakip yapılan inceleme neticesinde Kurulun 21.10.2021 tarih ve 1077 sayılı Kararı ile Belediyelere iletilen yazılar uyarınca bazı belediyelerin gerekli değişiklikleri yaptığı, ancak birçok Belediyenin ilgili Karar çerçevesinde gerekli güvenlik tedbirlerini almadığı ve halihazırda emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda “tek faktörlü doğrulama” uyguladığı tespit edilmiş olup, Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı uygulamalara devam ettiği anlaşılan belediyeler ile ilgili olarak 25.02.2021 tarih ve 2021/140 sayılı Kurul Kararının gereğinin yerine getirilmediği değerlendirmesinden hareketle bahse konu aykırılığa sebebiyet verenler hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kurula bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

28/09/2021: COVID-19 PCR TEST SONUCU VE AŞI BİLGİSİ UYGULAMALARI

Kurumumuza gerek yazılı olarak gerek ALO 198 çağrı hattı vasıtasıyla intikal eden PCR testi ve/veya aşı bilgisi taleplerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde nasıl bir yol izlenmesi gerektiğine ilişkin olarak Kurumumuz görüşlerinin talep edilmesi üzerine, konunun ülke genelinde gerçekleştirilecek yaygın bir uygulamaya inhisar edeceği dikkate alınarak, Kanun kapsamında bir değerlendirme yapılmasını teminen Kişisel Verileri Koruma Kurulu’nun gündemine alınmasına karar verilmiş ve Kurul’un 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile aşağıda yer verilen değerlendirmenin Kurum resmi internet sitesinde yayınlanmasına karar verilmiştir.

Dünya genelinde çeşitli varyantlarının da etkisiyle yayılma hızı giderek artış gösteren Covid-19 virüsünün neden olduğu hastalıklardan korunmak adına, değişen koşulları da dikkate almak suretiyle ülkemizin de aralarında bulunduğu tüm devletler, çeşitli tedbirler almaya devam etmekte olup; karantina, sosyal mesafe ve sosyal izolasyon gibi temel tedbirlerin alınmasının yanı sıra, yapılan bilimsel çalışmalar neticesinde Covid-19 aşıları geliştirilerek kullanıma sunulmuştur. Covid-19 aşısının, koronavirüsün yayılımını önlediği, hastalığın etkilerini de önemli ölçüde azalttığı bilinmekte olup; bu bilimsel gerçeklikten hareketle devletler, kamu sağlığının korunmasını teminen işyerleri de dâhil olmak üzere toplu halde bulunulacak alanlarda, Covid-19 aşı bilgisi ve/veya PCR testi sonuçlarının işlenmesi zorunluluğu getirmektedirler.

Nitekim ülkemizde de İçişleri Bakanlığınca 81 İl Valiliğine gereği, ilgili Bakanlıklara da bilgi için gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.

Çalışma ve Sosyal Güvenlik Bakanlığının 81 İl Valiliğine gereği için, ilgili Bakanlıklara da bilgi için gönderdiği 02.09.2021 tarihli yazıda ise işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.

Öncelikle belirtmek gerekir ki; kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6 ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6 ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir.

Öte yandan, Covid-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkması kaçınılmazdır.

Bilindiği üzere Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği düşünülmektedir.

Bu kapsamda Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.

Kamuoyuna saygıyla duyurulur.

09/02/2021: TAAHHÜTNAME BAŞVURUSU HAKKINDA DUYURU

Veri sorumlusu TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.

12/01/2021: WHATSAPP UYGULAMASI HAKKINDA KAMUOYU DUYURUSU

Bilindiği üzere; 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” hükmü yer almaktadır.

Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.

Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:

Belirli bir konuya ilişkin olması,
Rızanın bilgilendirmeye dayanması,
Özgür iradeyle açıklanması.

Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.

Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Kişisel verilerin işlenmesinde hukuki sebep olarak “açık rıza”nın belirlenmesinin söz konusu olduğu ve verilen hizmetin açık rıza şartına bağlandığı hususlara ilişkin olarak 2 Ağustos 2018 tarihinde Kurum internet sayfasında, Kişisel Verileri Koruma Kurulunun (Kurul) 16.02.2018 tarihli ve 2018/19 sayılı Kararının özeti yayınlanmıştır. Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir.

Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.

Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.

WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.

Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.

Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;

Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı

hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.

Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.

Kamuoyuna saygıyla duyurulur.

https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU

16/12/2020: “Alenileştirme” Hakkında Kamuoyu Duyurusu

Bilindiği üzere kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6 ncı maddelerinde düzenlenmiş olup, Kanunun 5 inci maddesi kapsamında yer verilen işleme şartlarından biri de kişisel verinin, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”dır.

Temel itibarıyla “alenileştirme” kavramı, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyuna açıklanması olarak ifade edilmektedir. Bununla birlikte Kanun kapsamında “alenileştirme”, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olup; ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunmaktadır.

Bu çerçevede, kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.

Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.

Yine benzer şekilde ilgili kişilerin sosyal medya hesapları gibi mecralar üzerinden elde edilen ad-soyad, telefon numarası, e-posta adresi vb. kişisel verilerinin veri sorumluları tarafından reklam amacıyla SMS/e-posta gönderilmesi suretiyle alenileştirme amacı dışında işlenmesi gibi faaliyetler Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında değerlendirilemeyecek olup, konuya ilişkin olarak daha önce alınan Kişisel Verileri Koruma Kurulunun 07.11.2019 tarih ve 2019/331 sayılı Kararına https://kvkk.gov.tr/Icerik/6623/2019-331 uzantısından erişilmesi mümkün bulunmaktadır.

Bu sebeple Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında gerçekleştirilecek kişisel veri işleme faaliyetlerinde ilgili kişilerin alenileştirme iradesinin varlığı ve alenileştirme amacının tespit edilmesi ve her durumda Kanunun 4 üncü maddesinde yer alan Genel İlkelere uyum hususuna özen gösterilmesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU

26/10/2020: YURTDIŞINA VERİ AKTARIMI KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.

Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.

Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.

Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.

a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme

Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.

Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.

Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.

b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi

b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme

Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.

Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).

b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi

Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.

Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.

b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları

Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.

b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)

b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:

Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,

“1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.”

hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).

Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.

Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.

b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:

AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).

Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.

c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı

Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.

c-1) Taahhütnameler

Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.

Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.

c-2) Bağlayıcı Şirket Kuralları

Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.

d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler

Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.

Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.

SONUÇ

Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,

“IV. Özel hayatın gizliliği ve korunması

A. Özel hayatın gizliliği

Madde 20 – …

(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.

Kamuoyuna saygı ile duyurulur.

https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU

01/10/2020: Sicil Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU

26/06/2020: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.

Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.

Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;

Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı

gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.

Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:

a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.

c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.

d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.

g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.

h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.

j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.

k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.

Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

23/06/2020: VERBİS'e Kayıt Sürelerinin Uzatılması Hakkında Duyuru

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,

kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

10/04/2020: Bağlayıcı Şirket Kuralları Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

09/01/2020 (Kamuoyu Duyurusu): Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.

Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

Şikayet Modülü Kılavuzu

06/01/2020 (Kamuoyu Duyurusu): Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.

Kamuoyuna saygıyla duyurulur.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

08/11/2019 (Kamuoyu Duyurusu): Aydınlatma Metinlerinde GDPR'a yapılan atıflara ilişkin

KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.

Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları

hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.

Kamuoyuna saygıyla duyurulur.

06/11/2019 (Kamuoyu Duyurusu): Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası" hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.

Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.

Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.

Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.

Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.

Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.

Kamuoyuna saygı ile duyurulur.

24/01/2019 - 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.

Kurul Kararları:

14/12/2023 -Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması

Karar Tarihi	:	14/12/2023
Karar No	:	2023/2135
Konu Özeti	:	Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması

Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinin (2) numaralı fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 16’ncı maddesinin (1) numaralı fıkrası çerçevesinde yapılan inceleme neticesinde,

Köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmesine,
Bu kararın Resmî Gazetede yayımlanmasına ve Kurum internet sitesinde duyurulmasına

oybirliği ile karar verilmiştir.

06/07/2023 -Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması

Karar Tarihi	:	06/07/2023
Karar No	:	2023/1154
Konu Özeti	:	Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması

Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 8 ve 16’ncı maddeleri göz önünde bulundurularak, 19.07.2018 tarihli ve 2018/87 sayılı Kurul kararı ile Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesinde kriter olarak kabul edilmiş olan “yıllık mali bilanço toplamı” tutarının ülkemizdeki ekonomik koşullar doğrultusunda yeniden değerlendirilmesi neticesinde;

19.07.2018 tarihli ve 2018/87 sayılı Kurul kararında yer alan “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ifadesindeki yıllık mali bilanço toplamı tutarının güncellenmesi suretiyle “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” şeklinde değiştirilmesine,
Bu kararın Resmî Gazetede yayımlanması ve Kurum internet sayfasında duyurulmasına,
Anılan kararın Resmî Gazetede yayımlandığı tarihte yürürlüğe girmesine

oybirliği ile karar verilmiştir.

İLKE KARARI: 21/04/2022 -Belediyelerin ödeme ve borç sorgulama hizmetleri

Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı

Karar Tarihi	:	21/04/2022
Karar No	:	2022/388
Konu Özeti	:	Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı

Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Bilindiği üzere Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı; (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.

Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı 2.1 maddesinde de “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; kKişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.

Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12 nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.

Bu değerlendirmeler ışığında;

Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12 nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12 nci maddesi kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15 inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 23/12/2021 - Araç kiralama sektöründeki kara liste uygulamaları

Karar Tarihi : 23/12/2021

Karar No : 2021/1304

Toplantı Sıra Sayısı : 2021/59

Konu Özeti : Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı

Toplantıya Katılan Üyeler

Başkan : Prof. Dr. Faruk BİLİR

Üyeler : İsmail AYDIN, Bayram ARSLAN, Hasan AYDIN, Şaban BABA,

Murat KARAKAYA, Dr. Ayşenur KURTOĞLU, Dr. Cengiz PAŞAOĞLU

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında Kanunun 15'inci maddesi çerçevesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe "kara liste" yazılımlarına/programlarına/uygulamalarına başvurulduğu anlaşılmıştır.

Araç kiralama sektöründe kullanılan bahse konu "kara liste" uygulamaları ile,

Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) "kara liste" özelliği de içeren araç kiralama yazılımları sundukları,
Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren "kara liste" bilgilerinin yer aldığı,
Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı,
Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, bu sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
Araç kiralayan bir gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, bu süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Tanımlar" başlıklı 3'üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ilgili kişi, "kişisel verisi işlenen gerçek kişi", (d) bendinde kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişi ve ilişkin her türlü bilgi", (e) bendinde kişisel verilerin işlenmesi, "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem", (ı) bendinde veri sorumlusu, "kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi" olarak tanımlanmıştır.

"Kişisel Verilerin İşlenme Şartları" başlıklı Kanun'un 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanunun 8'inci maddesinde "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5'inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6'ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü düzenlenmiştir.

Öte yandan, Kanun 'un 11'inci maddesi ilgili kişinin haklarını düzenlemekte olup maddenin 1 (g) bendi, "işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkını içermektedir.

Kanunun 12 inci maddesinde ise, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.

1774 sayılı Kimlik Bildirme Kanununun ilgili maddeleri gereğince araç kiralama faaliyetinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, araç kiralama firmalarının Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri, Kanunun 5'inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi" işleme şartı ile (ç) bendinde yer alan "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" işleme şartları kapsamında değerlendirilebilecektir.

Ayrıca, araç kiralama işi taraflar arasında akdedilen bir sözleşme kapsamında gerçekleştirilmekte olduğundan Kanunun 5'inci maddesinin 2 numaralı fıkrasının (c) bendinde yer alan "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" işleme şartı kapsamında ilgili kişilerin kişisel verilerinin araç kiralama firmalarınca işlenmesi mümkündür.

Kara liste benzeri veri kayıtları bakımından ise kişisel verilerin işletme faaliyetleri ile sınırlı olmak üzere işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceği değerlendirilmektedir. Kanun'un 5'inci maddesinin 2 numaralı fıkrasının (f) bendinde "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla, başka bir ifadeyle veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmektedir.

Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firması ile paylaşmasının Kanunun 4'üncü maddesinde düzenlenen Genel İlkelerden "hukuka ve dürüstlük kurallarına uygun olma", "belirli, açık ve meşru amaçlar için işlenme", "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırılık teşkil edeceği değerlendirilmektedir.

Öte yandan, ihbara konu kara liste uygulamalarında araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir. Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilecektir.

Araç kiralama sektöründe kara liste uygulamalarının ilgili kişinin hakları bakımından da değerlendirilmesi gerekmektedir. Kara liste kapsamında kişisel veri işlenmesi kişilerin Kanun'un 11 'inci maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerinin önünde engel teşkil edecektir. Şöyle ki, bu tür bir veri işleme kara liste uygulamalarının doğası gereği, kişi hakkında olumsuz bir sonuca ulaşılmasını, bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için, yapılan profilleme neticesinde ilgili kişi hakkında olumsuz bir sonuç ortaya çıkacak; ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeniyle, Kanunun 11 'inci maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürebilmesi güçleşecektir.

Tüm bu değerlendirmeler ışığında;

Kanunun 4'üncü maddesinde düzenlenen genel ilkelere, Kanun'un 5'inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8'inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
Söz konusu önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,

6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun İnternet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

09/06/2021 - Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğü

Karar Tarihi	:	09/06/2021
Karar No	:	2021/571
Konu Özeti	:	Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kararın Resmi Gazete’de Yayımlanması

I. Kararın Konusu ve Hukuki Dayanağı

6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 16 ncı maddesinin ikinci fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne göre kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte Kişisel Verileri Koruma Kurulu (Kurul) tarafından bu yükümlülüğe istisna getirilebilmektedir.

Bu kapsamda, Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

Bununla birlikte, Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine yapılan değerlendirme sonucunda;

22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesinin,
Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

gerektiği kanaatine varılmıştır.

II. Sonuç

Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine Kurul tarafından yapılan değerlendirme sonucunda;

22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

11/03/2021 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması

Karar Tarihi	:	11/03/2021
Karar No	:	2021/238
Konu Özeti	:	Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle Sicile kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine

kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 22/12/2020 - Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler

Karar Tarihi	:	22/12/2020
Karar No	:	2020/966
Konu Özeti	:	Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı

Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmektedir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır.

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.

İlke Kararının Yayımlandığı Resmî Gazete’nin
Tarihi	Sayısı
15/01/2021	31365

23/06/2020 - Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler

Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.

Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.

Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.

Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.

Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “... alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır...” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.

Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.

Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.

Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;

Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.

Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.

Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.

Yukarıda yer verilen değerlendirmeler çerçevesinde;

Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,

Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına

karar verilmiştir.

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına İlişkin Değerlendirmede Dikkate Alınacak Kriterler

23/06/2020 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması

"Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.

22/04/2020 - Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları

Karar Tarihi	:	22/04/2020
Karar No	:	2020/315
Konu Özeti	:	Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;

Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

kabulüne oybirliği ile karar verilmiştir.

İLKE KARARI: 18/10/2019 - Muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılması

21.11.2019 Tarih 30955 sayılı Resmi Gazete

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği

hususlarında kamuoyunun bilgilendirilmesine,

- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

18/09/2019 - 2019/271: Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

İhlalinin ne zaman gerçekleştiği,
Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
Kişisel veri ihlalinin olası sonuçları,
Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

03/09/2019 - 2019/265: VERBİS Kayıt Sürelerinin Uzatılması

Karar Tarihi	: 03/09/2019
Karar No	: 2019/265
Konu Özeti	:VERBİS Kayıt Sürelerinin Uzatılması

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 - 2019/125: Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form

Karar Tarihi	: 02/05/2019
Karar No	: 2019/125
Konu Özeti	:Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 - 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

27.05.2019 - 2019/52: Kurul kararının yerine getirilmemesi hakkında

Karar Tarihi	: 05/03/2019
Karar No	: 2019/52
Konu Özeti	:Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

İLKE KARARI: 16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

Karar Tarihi	: 16/10/2018
Karar No	: 2018/119
Konu Özeti	: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri

Karar Tarihi	: 19/07/2018
Karar No	: 2018/88
Konu Özeti	: Sicile kayıt yükümlülüğünün başlama tarihleri

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması

Karar Tarihi	: 05/07/2018
Karar No	: 2018/75
Konu Özeti	: Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Karar Tarihi	: 28/06/2018
Karar No	: 2018/68
Konu Özeti	: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

İLKE KARARI: 31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Karar Tarihi	: 31/05/2018
Karar No	: 2018/63
Konu Özeti	:Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

- Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

- Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları

Karar Tarihi	: 02/04/2018
Karar No	: 2018/32
Konu Özeti	: 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

31/01/2018 - 2018/10: Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

Karar Tarihi	: 31/01/2018
Karar No	: 2018/10
Konu Özeti	: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

İLKE KARARI: 21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

Karar Tarihi	: 21/12/2017
Karar No	: 2017/61
Konu Özeti	: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

İLKE KARARI: 21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Karar Tarihi	: 21/12/2017
Karar No	: 2017/62
Konu Özeti	: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

oy birliği ile karar verilmiştir.

Karar Özetleri:

18.07.2024: “Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi”

Karar Tarihi	:	18/07/2024
Karar No	:	2024/1176
Konu Özeti	:	Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi

Kişisel Verileri Koruma Kurumuna (Kurum) iletilen bir şikâyette özetle;

İlgili Kişinin internet taahhüt süresinin dolması sebebiyle, internet ortamında yeni tarifelere bakarken abonesi olduğu A Elektronik Haberleşme Şirketine ait (A Şirketi) internet sitesi ile aynı/çok benzer görselleri paylaşan bir siteye yanlışlıkla girdiği, sitedeki canlı yardım kutucuğuna yalnızca cep telefonu numarasını yazdığı, birkaç dakika içinde kendisini müşteri temsilcisi olarak tanıtan bir kişi tarafından arandığı, bu kişinin, sistemde kayıtlı verilere erişebilmek için T.C. kimlik numarasını istediği, cep telefonu numarası üzerinden sistemde kayıtlı verilere erişilemediğini düşünerek arayan şahsa T.C. kimlik numarasını da verdiği, T.C. kimlik numarasını verdikten sonra internetin kurulu olduğu ikamet adresi, tarifenin tipi, tarife başlangıç tarihi, taahhüt süresi gibi ancak A Şirketi müşteri temsilcilerinin erişebileceği bilgilerin tamamına bu şahsın erişim sağladığı, kendisine iletilen bu bilgilerin tamamının doğru olduğunu görünce A Şirketi müşteri temsilcisi ile görüştüğü zannına kapıldığı,
Arayan şahsın, A Şirketi altyapısını kullanan X Markasına kiralanan, kullanılmadığı için boşta ve fazladan olan porta İlgili Kişiyi aktararak daha hızlı ve ucuz internet kullanabileceğini belirttiği, A Şirketinden memnun olduğunu ve şirketini değiştirmeyeceğini belirttiğinde şirketinin değişmeyeceğinin, yalnızca internet portunun değiştirileceğinin kendisine iletildiği, bunun üzerine A Şirketi müşteri temsilcisi ile görüşme yaptığını düşünerek işleme onay verdiği, akabinde aynı gün X Markasına geçtiği yönünde bir SMS aldığı ve arayan kişinin A Şirketi müşteri temsilcisi olmadığını, iradesinin sakatlanarak bilgilerinin hukuka aykırı şekilde elde edildiğini anladığı, önce A Şirketi müşteri temsilcisini arayarak durumu bildirdiği, aynı gün X Markası müşteri temsilcisini arayarak herhangi bir abonelik yaptırmadığını, adına abonelik ön müracaatı yapılmış ise bunun rızası dışında olduğunu belirterek iptal talebinde bulunduğu, buna rağmen birkaç gün sonra abonelik kurulumu için bulunduğu ildeki X Markası servisinin İlgili Kişiyi aradığı, abonelik yaptırmadığını ve abonelik müracaatının olmadığını, ellerindeki iş emrini iptal etmelerini X Markasının temsilcisine belirttiği,
E-Devlet üzerinden Bilgi Teknolojileri ve İletişim Kurumunun (BTK) "Mobil/Sabit/İnternet/Kablo Tv/Uydu İşletmecilerinden Borç/Alacak Sorgulama ve Ödeme/İade işlemleri" sayfasından yaptığı sorgulamada, X Markasına 604***** numara ile aktif abone olduğunun göründüğü, bu durumun düzeltilmesine ilişkin şikayetini 18.06.2021 tarihinde telefon ile X Markasının müşteri hizmetlerine ilettiği, şikayeti için 601***** referans numarasının verildiği, 19.06.2021 saat 18:27'de "Talebiniz sonuçlanmıştır" şeklinde bir SMS aldığı, 25.07.2021 saat 23.45 itibariyle e-Devlet üzerinden yaptığı kontrolde "X Markası işletmecisinde 1 tanesi aktif, 0 tanesi pasif olmak üzere toplam 1 adet abonelik bilginiz bulunmaktadır. Aboneliklerinizin toplam borç tutarı 0,00 TL, toplam alacak tutarı 0,00 TL'dir. Detaylı Bilgi" şeklinde bilgi görüntülendiği, bunun üzerine 26/07/2021 tarihinde X Markası internet sitesi üzerinden dijital yolla şikâyet başvurusunda bulunduğu, bu başvuruya herhangi bir cevap verilmediği,
06.02.2022 tarihinde BTK’nin internet sitesi üzerinden 110****** no’lu şikayet başvurusunu yaptığı, gerek aktif gerek pasif olarak abone gözükmek istemediğini bildirdiği, kişisel verilerinin iradesi sakatlanmak suretiyle, hukuka aykırı olarak elde edildiği ve işlendiği, kendisine BTK üzerinden "Yaptığımız kontrollerde 31/03/2021 tarihinde 604***** abone numarasıyla 16 MB Limitsiz internet paketi olarak alınan başvurunuz için ilgili ekiplere yönlendirme sağlanarak gerekli düzenleme sağlanmıştır. E-Devlet veya bizim sistemlerimiz üzerimizden pasif abonelik olarak görüneceğini belirtmek isteriz." şeklinde bir yanıt verildiği, sonraki bir tarihte e-Devlet üzerinden yaptığı kontrolde, aktif abonelik olarak görünen kaydın pasif aboneliğe çevrildiğini, ancak şirket sistemlerinden çıkartılmadığını gördüğü, bu defa 03.01.2023 tarihinde X Markasının internet sitesi aracılığıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri uyarınca açık rıza beyanı olmadan işlenemeyecek/muhafaza edilemeyecek olan kişisel verilerinin tamamının ilgili şirket sistemlerinden çıkartılmasını/silinmesini talep ettiği ve talebinin olumsuz şekilde neticelendiği ifade edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen şirket olan B Şirketi’nden savunması talep edilmiş olup şikâyet edilen tarafından verilen cevapta özetle;

Sistemlerinde yapılan kontrollerde İlgili Kişi adına 31.03.2021 tarihinde “Doya Doya Limitsiz İnternet Kampanyası” kapsamında B Şirketinin bayisi olarak C Şirketi/Bayi tarafından abonelik girişi yapıldığının tespit edildiği, bu giriş nedeniyle İlgili Kişiye 604***** no’lu abone numarasının atandığı, atanan abone numarasının, aboneliğe ilişkin talep sürecinden sonra ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için kullanılmakta olan bir numara olduğu, 01.04.2021 tarihinde İlgili Kişinin abonelik talebinin olmadığını beyan etmesi üzerine abonelik aktivasyon ve kurulum işlemlerinin tamamlanmadığının tespit edildiği,
Somut olayda İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında C Şirketi/Bayi tarafından sistemlere eklendiğinin tespit edildiği, C Şirketi/Bayi’nin B Şirketi sistemlerinde kaydı bulunmayan İlgili Kişiyi, B Şirketi’nin talimatı veya bilgisi dâhilinde olmadan potansiyel abonenin verilerini bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisinin temin ederek ilgili sisteme aktardığı, bu bakımdan İlgili Kişiye ait kişisel verilerin hukuka uygun bir şekilde İlgili Kişiden temin edilmesi noktasında sorumluluğun C Şirketi/Bayi’de olduğu,
B Şirketi’nin D Şirketi’nin tek pay sahibi olduğu, operasyonel işleyiş kapsamında D Şirketi’nin X Markası abonelerinin her türlü iş ve işlemleriyle ilgilendiği, platform abonelik süreçlerinin tamamının D Şirketi tarafından yürütüldüğü, BTK nezdinde uydu platform ve altyapı işletmeciliği hizmeti sunma yetkisinin D Şirketi üzerinde olduğu, bu sebeple abone veya potansiyel abonelere ilişkin BTK’den gelen taleplere ilişkin soru veya şikayetlerin D Şirketi tarafından cevaplandırıldığı, kişisel verilerin işlenmesine ilişkin amaç ve vasıtaların veri sorumlusu sıfatıyla D Şirketi tarafından belirlendiği, şikayete konu olay kapsamında ise İlgili Kişinin kişisel verilerinin işlenmesine ilişkin olarak D Şirketi veya B Şirketi’nin bir sorumluluğunun bulunmadığı, İlgili Kişinin kişisel verilerinin veri sorumlusu sıfatıyla C Şirketi/Bayi tarafından X Markası sistemlerine aktarıldığı, somut olayda İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında B Şirketi’nin bayisi olan C Şirketi/Bayi tarafından, B Şirketi ile C Şirketi/Bayi arasında imzalanan çözüm ortaklığı sözleşmesi doğrultusunda B Şirketine ait sistemlere eklendiği, şikayete konu olayda C Şirketi/Bayi’nin, B Şirketinin sistemlerinde kaydı bulunmayan İlgili Kişiye ait kişisel verileri B Şirketinin talimatı veya bilgisi dâhilinde olmadan potansiyel abonenin verilerini bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisi temin ederek B Şirketinin sistemlerine aktardığı, yapılan kontrollerde İlgili Kişiye ait ad, soyadı, adres, e-posta adresi, telefon numarası, doğum tarihi, cinsiyet, talep edilen abonelik kapsamındaki bilgilerin iletişim faaliyetlerinin yürütülmesi, mal/hizmet satış süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikayetlerin takibi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla Kanun’un 5’inci maddesinin ikinci fıkrasının (c) ve (e) bentleri uyarınca işlendiği,
İlgili Kişi ile B Şirketi arasında çağrı merkezi üzerinden 31.03.2021 tarihinde iki adet, 18.06.2021, 21.06.2021 ve 06.02.2022 tarihlerinde birer adet olmak üzere toplamda beş adet görüşme gerçekleştirildiği, söz konusu görüşmelerin İlgili Kişinin yaşamış olduğu olayın aktarılması, abonelik başvurusuna ilişkin iptal taleplerinin iletilmesi, e-Devlet üzerinde aboneliğinin durumu ve BTK’ye yapmış olduğu başvuruya ilişkin görüşmeleri içerdiği, İlgili Kişinin, abonelik iptal talebi ve abonelik bilgilerinin e-Devlet üzerindeki durumuna ilişkin olarak BTK üzerinden 06.02.2022 tarihinde iki adet şikayette bulunduğu, İlgili Kişiye bahse konu şikayetler kapsamında 06.02.2022 ve 12.02.2022 tarihlerinde cevap verildiği, yine İlgili Kişinin abonelik iptal talebine ilişkin olarak 19.06.2021 tarihinde SMS ile bilgilendirme yapıldığı, söz konusu yazışmalar haricinde X Markası internet sitesinde yer alan İletişim Formu da dahil olmak üzere İlgili Kişi ile B Şirketi arasında başkaca bir yazışma gerçekleşmediği ve farklı platformlar üzerinden iletişim kurulmadığı,
İlgili Kişiye ait kişisel verilerin C Şirketi/Bayi tarafından temin edilerek B Şirketinin sistemlerine aktarılması sebebiyle İlgili Kişinin kişisel verilerinin İlgili Kişiden ilk kez talep edildiği noktada aydınlatma yükümlülüğünün C Şirketi/Bayi’de olduğu, İlgili Kişinin şikâyete konu olay kapsamında abonelik işlemlerine ilişkin iptal ve diğer taleplerini iletmek için B Şirketi ile iletişime geçtiği çağrı merkezi kanalı üzerinden Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümleri uyarınca hukuka uygun bir şekilde aydınlatıldığı,
İlgili Kişi tarafından X Markası internet sitesi üzerinden kişisel verilerinin silinmesine ilişkin herhangi bir talepte bulunulmadığı, bu bakımdan İlgili Kişinin kişisel verilerinin silinmesi talebinin olumsuz neticelendirildiği iddiasının gerçeği yansıtmadığı ve söz konusu kişisel verilere ilişkin olarak imha işlemi gerçekleştirilmediği, abonelik talebinde bulunup sonradan talebinden vazgeçen ilgili kişilere ait kişisel verilerin, ilgili kişinin kendisi, resmi kurumlar ile mahkemeler tarafından bilgi talep edilme ihtimaline karşı bahse konu ilgili kişinin kimliğinin tespit edilmesi, bu kişilerin şirket ile ilişkisinin anlaşılabilmesi ve talep konusu ile eşleştirilmesi amaçlarıyla bağlantılı olarak ve asgari süreyle sınırlı olarak Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendi uyarınca saklandığı, söz konusu verilerin, saklama süresinin dolması akabinde Kişisel Veri Saklama ve İmha Politikası dikkate alınarak imha edileceği,
Abonelik talebinde bulunan potansiyel müşterilerden alınan aboneliğe ilişkin onayın ardından müşterilerin sistemlerde aktif abone olarak konumlandırıldığı, aboneliğe ilişkin talepte bulunan potansiyel müşterilere aktivasyon işlemlerinin (ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi) tamamlanması için bir numara atandığı, atanan bu numara sebebiyle İlgili Kişinin e-Devlet sisteminde aktif olarak görülmesinin muhtemel olduğu, ancak, bu süre zarfında potansiyel abonelerin X Markası sistemlerinde “ön aktivasyon aşamasında” göründüğü, müşterilerin aboneliklerinin iptal edilmesi veya aktivasyon sürecinde kurulum talep etmemeleri halinde aboneliklerinin sistemlerde pasif konuma alındığı, İlgili Kişinin 06.02.2022 tarihinde BTK kanalı ile iletmiş olduğu şikayeti üzerine ön aktivasyon bekleyen abonelik işlemi talepleri doğrultusunda 10.02.2022 tarihinde manuel olarak sisteme müdahale edilerek pasif konuma alındığı

hususları ifade edilmiştir.

Bunun üzerine, veri sorumlusu sıfatını haiz olabileceği değerlendirilen C Şirketi/Bayi’den savunma talep edilmiş olup söz konusu yazımıza C Şirketi/Bayi tarafından herhangi bir cevap verilmemiştir.

Akabinde, şikâyete konu olay bakımından veri sorumlusu sıfatını taşıyabileceği düşünülen diğer şirket olan D Şirketinden savunma talep edilmiş olup anılan şirket tarafından verilen cevapta özetle;

B Şirketinin, D’nin tek pay sahibi olduğu, operasyonel işleyiş kapsamında D’nin, X Markası abonelerinin her türlü iş ve işlemleriyle ilgilendiği, platform abonelik süreçlerinin tamamının D Şirketi tarafından yürütüldüğü, konuya ilişkin bilgilendirmenin X Markası resmî internet sitesi üzerinde yer aldığı, kişisel verilerinin işlenmesine ilişkin amaç ve vasıtaların veri sorumlusu sıfatıyla D Şirketi tarafından belirlendiği, şikayete konu olay kapsamında İlgili Kişiye ait kişisel verilerin işlenmesinde B Şirketinin ya da D Şirketinin sorumluluğunun bulunmadığı, söz konusu kişisel verilerin bayi tarafından D Şirketi sistemlerine aktarıldığı,
Yapılan kontrollerde İlgili Kişi adına 31.03.2021 tarihinde “Doya Doya Limitsiz İnternet Kampanyası” kapsamında D Şirketinin bayisi olan C Şirketi/Bayi tarafından abonelik girişi yapıldığı, bu giriş nedeniyle 604***** abone numarasının atandığı, bahse konu abone numarasının, aboneliğe ilişkin talep sürecinden sonraki ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için kullanıldığı, 01.04.2021 tarihinde İlgili Kişinin abonelik talebinin olmadığını beyan etmesi üzerine abonelik aktivasyon ve kurulum işlemlerinin tamamlanmadığının tespit edildiği, bu sebeple İlgili Kişi ile D Şirketi arasında geçmiş veya mevcut bir abonelik ilişkisinin bulunmadığı,
İlgili Kişi ile D Şirketi arasında çağrı merkezi üzerinden 31.03.2021 tarihinde iki adet, 18.06.2021, 21.06.2021 ve 06.02.2022 tarihlerinde birer adet olmak üzere toplamda beş adet görüşme gerçekleştirildiği, söz konusu görüşmelerin, İlgili Kişinin yaşamış olduğu olayın aktarılması, abonelik başvurusuna ilişkin iptal taleplerinin iletilmesi, e-Devlet üzerinde aboneliğinin durumu ve BTK’ye yapmış olduğu başvuruya ilişkin görüşmeleri içerdiği, İlgili Kişinin, abonelik iptal talebi ve abonelik bilgilerinin e-Devlet üzerindeki durumuna ilişkin olarak BTK üzerinden 06.02.2022 tarihinde iki adet şikayette bulunduğu, kendisine bahse konu şikayetler kapsamında 06.02.2022 ve 12.02.2022 tarihlerinde cevap verildiği, İlgili Kişinin abonelik iptal talebine ilişkin olarak ise 19.06.2021 tarihinde SMS ile bilgilendirme yapıldığı, bunun haricinde İlgili Kişi ile D Şirketi arasında herhangi bir iletişim kurulmadığı,
Şikayete konu olay kapsamında İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında D Şirketi’nin bayisi olan C Şirketi/Bayi tarafından, iki Şirket arasında imzalanan “Çözüm Ortaklığı Sözleşmesi” kapsamında D Şirketinin sistemlerine eklendiği, C Şirketi/Bayi’nin potansiyel abone olan İlgili Kişinin verilerini, D Şirketinin talimatı veya bilgisi dâhilinde olmadan, bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisi temin ederek D Şirketinin sistemlerine aktardığı, İlgili Kişinin D Şirketi bünyesinde hiçbir zaman pasif veya aktif bir aboneliğinin olmadığı, bu sebeple İlgili Kişinin kişisel verilerinin İlgili Kişiden ilk kez talep edildiği noktada aydınlatma yükümlülüğünün C Şirketi/Bayi tarafından yerine getirilmesi gerektiği,
İlgili Kişinin, abonelik işlemlerine ilişkin iptal ve diğer taleplerini iletmek için D Şirketi ile iletişime geçtiği çağrı merkezi kanalı üzerinden Tebliğ hükümleri uyarınca hukuka uygun bir şekilde aydınlatıldığı, aboneler başta olmak üzere kişisel verisi işlenen diğer tüm kişilerin de D Şirketine ait internet sitesi başta olmak üzere kişisel verilerin işlendiği diğer alanlarda hukuka uygun bir şekilde aydınlatıldığı,
Yapılan kontrollerde İlgili Kişiye ait ad, soyadı, adres, e-posta adresi, telefon numarası, doğum tarihi, cinsiyet ve talep edilen abonelik kapsamındaki bilgilerin; iletişim faaliyetlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikayetlerin takibi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla ve “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartları kapsamında işlendiği,
İlgili Kişi tarafından D Şirketine, X Markası internet sitesi üzerinden kişisel verilerin silinmesine ilişkin herhangi bir talepte bulunulmadığı, İlgili Kişinin Kanun’un 11’inci maddesindeki haklarını kullanmak için Kanun’un 13’üncü maddesi kapsamında D Şirketine iletilen bir başvurusu olmadığı, bu sebeple İlgili Kişinin kişisel verilerinin silinmesi talebinin olumsuz neticelendirildiği iddiasının gerçeği yansıtmadığı,
Abonelik talebinde bulunup sonradan talebinden vazgeçen ilgili kişilere ait kişisel verilerin, ilgili kişinin kendisi ya da ilgili kurum ve kuruluşlar ile görevli mahkemeler tarafından bilgi talep edilme ihtimaline karşı ve bahse konu ilgili kişinin kimliğinin tespit edilmesi, D Şirketi ile ilişkisinin anlaşılabilmesi ve talep konusu ile eşleştirilmesi amaçlarıyla bağlantılı olarak ve asgari süreyle sınırlı olarak Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca saklandığı, bu sebeple İlgili Kişiye ait D Şirketi bünyesinde yer alan kişisel verilere ilişkin henüz imha işleminin gerçekleştirilmediği, İlgili Kişiye ait kişisel verilerin, İlgili Kişi ile D Şirketi arasındaki geçmiş ilişkiyi anlayabilmek ve ilgili kişinin kimliğini tespit edebilmek amacıyla Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendinde düzenlenen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uyularak asgari süre ile D Şirketi sistemlerinde saklanacağı, ardından saklama süresinin dolması akabinde D Şirketinin Kişisel Veri Saklama ve İmha Politikası dikkate alınarak imha edileceği,
Abonelik talebinde bulunan potansiyel müşterilerden alınan aboneliğe ilişkin onayın ardından müşterilerin şirket sistemlerinde aktif abone olarak konumlandırıldığı, aboneliğe ilişkin talepte bulunan potansiyel müşterilere ait aktivasyon işlemlerinin (ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi) tamamlanması için bir numara atandığı, atanan bu numara sebebiyle İlgili Kişinin e-Devlet sisteminde aktif olarak görülmesinin muhtemel olduğu, ancak, bu süre zarfında potansiyel abonelerin D Şirketi sistemlerinde “ön aktivasyon aşamasında” göründüğü, müşterilerin aboneliklerinin iptal edilmesi veya aktivasyon sürecinde kurulum talep etmemeleri halinde aboneliklerinin şirket sistemlerinde pasif konuma alındığı, İlgili Kişinin 06.02.2022 tarihinde BTK kanalı ile iletmiş olduğu şikayet üzerine D Şirketi sistemlerinde ön aktivasyon olarak bekleyen abonelik işleminin, İlgili Kişinin talepleri doğrultusunda 10.02.2022 tarihinde manuel olarak sisteme müdahale edilerek pasif konuma alındığı, İlgili Kişinin aboneliğine ilişkin durumunun D Şirketi sistemlerinde hiçbir zaman “aktif” pozisyonda konumlandırılmadığı, “ön aktivasyon” ve “pasif” pozisyonda konumlandırıldığı, İlgili Kişinin aboneliğine ilişkin durumun e-Devlet sistemlerinde “aktif” veya “pasif” olarak görünmesi noktasında D Şirketinin herhangi bir dahlinin veya sorumluluğunun bulunmadığı,
Bayilerin, potansiyel abonelere bizzat kendileri ulaşarak veya ürün kurulum talepleri üzerine satış işlemlerini başlattığı, bayilerin, ürün kurulum talebinde bulunan potansiyel aboneyi, kurulum ve sözleşme süreçlerinin tamamlanması için arayarak randevu oluşturduğu, randevu oluşturulduktan sonra potansiyel abonenin kurulum yapılacak adresine ilgili birimlerin gittiği ve gerekli sözleşme akdetme ve kurulum işlemlerini gerçekleştirdiği, ardından abonelik aktivasyon süreçlerinin tamamlandığı, bayiler aracılığıyla talepte bulunan potansiyel abonelere ilişkin abonelik işlemlerinin bayiler tarafından sisteme bilgi girişi yapılarak gerçekleştiği, sistem tarafından bahse konu potansiyel aboneye aboneliğe ilişkin talep sürecinden sonra ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için bir numara atandığı, D Şirketi sistemlerinde aboneliğe ilişkin “aktif” veya “pasif” kaydının bayiler tarafından veya ilgili kişiler tarafından verilen bilgiler doğrultusunda D Şirketi tarafından oluşturulduğu

hususlarına yer verilmiştir.

Alınan savunmaların incelenmesi neticesinde savunmalarını iletmeyen C Şirketi/Bayi’nin veri sorumlusu sıfatını haiz olabileceği değerlendirilmiş olup, anılan şirketin savunmaları yeniden talep edilmiştir. C Şirketi/Bayi’nin cevabi yazısında ise özetle;

C Şirketi/Bayi’nin X Markasının satış bayisi olduğu, D Şirketi ile akdettiği sözleşme uyarınca internet sitesi üzerinden X Markası ile müşteriler arasında sözleşme kurulmasına aracılık ettiği ve müşterilere X Markası aboneliği satılması durumunda C Şirketi/Bayi’nin bu satıştan bir prim elde ettiği, C Şirketi/Bayi ile D Şirketi arasında veri sorumlusu-veri işleyen ilişkisi bulunduğu, C Şirketi/Bayi’nin D Şirketi’nin verdiği yetkiye dayanarak onun adına kişisel verileri işlediği ve veri işleyen sıfatını haiz olduğu, taraflar arasında bir protokolün de bulunduğu, C Şirketi/Bayi’nin X Markası internet sitesi üzerinden müşterilere ulaştığı, Google reklamları üzerinden C Şirketi/Bayi’nin internet sitesini gören ilgili kişilerin, belirtilen link üzerinden internet sitesine ulaşabildiği, internet sitesinde başvuru formunun bulunduğu, ilgili kişilerin C Şirketi/Bayi tarafından aranmak istemesi halinde bu forma ad, soyadı ve telefon bilgilerini girdiği, başvuru formunun bulunduğu bölümde bir aydınlatma metninin bulunduğu, ilgili kişilerin, kişisel verilerinin nasıl işlendiğine dair bilgi almak istemesi halinde ilgili link üzerinden aydınlatma metnine ulaşabildiği, aranma talebini ileten ilgili kişilerin, C Şirketi/Bayi çalışanları tarafından kendilerine teklif sunulması için arandığı, arama ile müşterilere bir teklif iletildiği ve müşterinin teklifi kabul etmesi durumunda sürece devam edildiği,
D Şirketi’nin ilgili kişilerden alınan bilgilerin kendi sistemlerine kaydedilmesini sağlamak amacıyla C Şirketi/Bayi’ye bir kullanıcı adı tanımladığı, ilgili kişilerden alınan kişisel verilerin, X Markasının kendi sistemine C Şirketi/Bayi çalışanları tarafından kaydedildiği, yapılan işlemin müşterilerle D Şirketi arasında sözleşme kurulmasına aracılık etmek olduğu, C Şirketi/Bayi’nin D Şirketinden aldığı yetki ile ilgili kişilerin kişisel verilerini yine D Şirketi’nin kendi veri kayıt sistemine işlediği,
İlgili Kişi ile C Şirketi/Bayi arasında herhangi bir hukuki ilişki bulunmadığı, C Şirketi/Bayi’nin, müşteriler ile kurulacak sözleşmenin tarafı olmadığı, C Şirketi/Bayi’nin yaptığı işlemin, müşterilerle D Şirketi arasında kurulacak sözleşmelere aracılık etmek olduğu,
İlgili Kişiden ilk etapta veri sorumlusu sıfatıyla alınan kişisel verilerin; ad, soyadı ve telefon numarası bilgileri olduğu, bu bilgilerin, internet sitesindeki başvuru formunun İlgili Kişinin kendi rızasıyla doldurulması suretiyle C Şirketi/Bayi’ye iletildiği, söz konusu kişisel verilerin “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayalı olarak, müşteriye sözleşme teklifi sunulabilmesi amacıyla işlendiği, İlgili Kişinin sunulan teklifi kabul etmesi dolayısıyla kişisel verilerinin, sözleşme kurulması amacıyla D Şirketi’nin veri kayıt sistemine işlendiği, veri işleyen sıfatıyla internet aboneliği kurulabilmesi için D Şirketi’nin internet sitesine ad, soyadı, adres, T.C. kimlik numarası ve telefon numarası verilerinin işlendiği, bu verilerin, İlgili Kişi tarafından telefon görüşmesi esnasında C Şirketi/Bayi çalışanlarıyla paylaşıldığı ve D Şirketi adına D Şirketi’nin veri kayıt sistemine işlendiği,
İlgili Kişiye karşı aydınlatma yükümlülüğünün yerine getirildiği, İlgili Kişinin başvuru formunu doldurmadan önce aydınlatma metninin linkiyle karşılaştığı, aydınlatma metninin okunup okunmamasının ilgili kişinin tercihi olduğu, İlgili Kişinin aranma talebinde bulunmadan önce aydınlatma metnine ulaştığı ve aydınlatma yükümlülüğünün yerine getirilmesi sebebiyle görüşme esnasında tekrardan bilgilendirme yapılmadığı, daha önce aydınlatma yükümlülüğünün yerine getirilmesi sebebiyle tekrardan İlgili Kişinin bilgilendirilmesine ihtiyaç bulunmadığı,
D Şirketi adına işlenen kişisel verilerin D Şirketi’nin kontrolünde olduğu, bu verilerin C Şirketi/Bayi tarafından imha edilmesinin mümkün olmadığı, imha yükümlülüğünün veri sorumlusunda olduğu, başvuru formu yoluyla alınan verilerin ise kulanım amacının ortadan kalkması ile imha edildiği,
E-Devlet üzerindeki kayıtların C Şirketi/Bayi tarafından oluşturulmadığı, konu hakkında C Şirketi/Bayi’nin bir bilgisinin bulunmadığı, bu işlemlerin D Şirketi yetkilileri tarafından yapıldığının düşünüldüğü, İlgili Kişinin teklifi kabul etmesi sonrasında kişisel verilerin D Şirketi sistemine girilmesi ile C Şirketi/Bayi’nin veri işleme faaliyetinin sona erdiği, bu noktadan sonra yapılan işlemlerin C Şirketi/Bayi’nin sorumluluğunda ve bilgisi dahilinde olmadığı

hususlarına yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 18/07/2024 tarih ve 2024/1176 sayılı Kararı ile;

Başvuruya konu olay bağlamında İlgili Kişinin, X Markası abonesi olmak istemediğini açıkça belirtmesine rağmen hizmet almış olduğu şirketin değişmeyeceği hususunda kendisinin aldatıldığını, bu sebeple işleme onay verdiğini, X Markasından hiç hizmet almadığını, bu bakımdan abonelik tesisi için kendisinden talep edilen kişisel verilerin işlenmesi bakımından açık rızasının bulunmasının mümkün olmadığını beyan ettiği,
Veri Sorumlusunun ise X Markasının internet sitesi üzerinden müşterilere ulaşarak prim karşılığında D Şirketi ile potansiyel müşteriler arasında sözleşme akdedilmesi amacıyla aracılık faaliyeti gösterdiğini ve İlgili Kişiye ait kişisel verilerin de bu amaçla işlendiğini iddia ettiğinin anlaşıldığı,
İlgili Kişinin şikâyete konu etmiş olduğu internet sitesi ile Veri Sorumlusu tarafından faaliyet gösterildiği beyan edilen internet adresinin aynı olmadığının, şikâyete konu olayda İlgili Kişi tarafından “Yandex” arama motoru üzerinden yapılan sorgulama neticesinde şikâyete konu internet sitesine ulaşıldığı, bununla birlikte söz konusu siteye artık erişim sağlanamadığının anlaşıldığı,
Benzer şekilde “Yandex” ve “Yahoo” arama motorları üzerinden “A Şirketi kampanyaları” anahtar kelimesi ile farklı tarihlerde yapılan taramalarda, farklı web sitelerinin sonuçlar arasında yer aldığı, bu sitelerde “[…] Müşteri Temsilcisi” “Hoş Geldiniz. Size nasıl yardımcı olabilirim?” ve “Kampanyaları incelediğinizi görüyorum. Tarifeler Hakkında bilgi vermemi ister misiniz? Yeni Abonelik mi Düşünüyorsunuz ?” cümlelerinin standart olarak ekrana geldiği, bahse konu internet sitelerinin İlgili Kişinin hizmet almakta olduğu eski şirket ile çok benzer görsellere sahip olduğunun görüldüğü,
Sorgu neticesinde çıkan web sitelerinin ana sayfalarına gidilmesi halinde ise sayfada yer alan “Online Başvuru” butonu tıklandığında “Potansiyel Müşteri Aydınlatma metnine ulaşmak için tıklayın. Paylaştığınız bilgiler size en uygun teklifleri sunmak üzere müşteri temsilcilerimize aktarılacaktır.” şeklinde bir metnin ve linkin görüntülendiği, Potansiyel Müşteri Aydınlatma metni görüntülendiğinde çıkan aydınlatma metninde ise “Veri Sorumlusu: C Şirketi” ifadelerine açıkça yer verildiğinin görüldüğü,
Söz konusu uygulamanın, D Şirketi ile C Şirketi/Bayi arasında akdedilen Çözüm Ortaklığı Sözleşmesinin muhtelif hükümlerine aykırılık içerdiği, bu suretle anılan şirketin D Şirketinin vermiş olduğu talimatların dışına çıkarak veri sorumlusu sıfatını kazandığı (bundan böyle C Şirketi/Bayi; veri sorumlusu olarak anılmıştır.), İlgili Kişiye yönelik olarak arama gerçekleştiren numaranın da Veri Sorumlusuna ait olduğu göz önüne alındığında Veri Sorumlusunun, başka bir firmaya ait görselleri yanıltıcı bir şekilde kullanarak potansiyel müşterilere ulaştığı, yasal bir dayanağı bulunmamasına karşın sözleşme ilişkisi kurulmasını sağlamak amacı ile sözleşme kurulana kadarki aşamada ilgili kişileri yanıltarak kişisel verilerini işlediği, söz konusu faaliyet bakımından Kanun’un 5’inci maddesinin ikinci fıkrasında düzenlenen işleme şartlarının somut olayda mevcut olmadığı, “açık rıza” işleme şartına dayanılabilmesi için ise “belirli bir konuya ilişkin olma”, “bilgilendirmeye dayanma” ve “özgür irade ile açıklanma” olmak üzere üç temel koşulun aynı anda gerçekleşmesi gerektiği, şikayete konu olayda İlgili Kişinin iradesinin aldatılmak suretiyle sakatlandığı, bu bakımdan alınan rızanın, Kanun’un 3’üncü maddesi anlamında “açık rıza” niteliğini haiz olamayacağı,
Bu bakımdan söz konusu işleme faaliyetinin hukuki bir dayanağının bulunmadığı ve D Şirketi ile Veri Sorumlusu arasında akdedilen sözleşme hükümlerine aykırı şekilde aracılık ve kişisel veri işleme faaliyetinde bulunan Veri Sorumlusunun, kişisel veri işleme faaliyetinde bulunurken Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü gereği gibi yerine getirmediği

değerlendirmelerinden hareketle;

B Şirketi’nin, şikâyete konu olayda üçüncü kişi sıfatıyla yer alması sebebiyle anılan şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
D Şirketi’nin, şikâyete konu olayda veri sorumlusu sıfatını kaybettiği yönündeki değerlendirmelerden hareketle, anılan şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
C Şirketi/Bayi’nin, D Şirketi ile akdettikleri sözleşme uyarınca veri işleyen statüsünde, anılan şirketin emir ve talimatları ile sözleşme hükümleri çerçevesinde hareket etmesi gerektiği halde başka bir firmaya ait görselleri kullanarak potansiyel müşterileri yanılttığı ve bu suretle anılan şirketin İlgili Kişiye ait kişisel verileri temin ederek işlediği, söz konusu faaliyetin D Şirketi ile C Şirketi/Bayi arasında akdedilen sözleşme hükümlerine aykırı olması sebebiyle C Şirketi/Bayi’nin somut olayda veri sorumlusu sıfatı ile hareket ettiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayandırılmadığı değerlendirmelerinden hareketle Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü yerine getirmediği gerekçesiyle Veri Sorumlusu hakkında Kanun’un 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca 450.000 Türk Lirası idari para cezası uygulanmasına,
Aboneliğin tesis edilmesinin hukuka uygun olup olmadığı hususu başta olmak üzere şikayete konu olayın taraflarının, Türk Hukuku’nda tespit edilen zamanaşımı düzenlemeleri çerçevesinde birbirinden hak talebinde bulunabileceği göz önüne alındığında pasif kaydı da dahil olmak üzere İlgili Kişinin geçmiş aboneliğine ilişkin bilgilerin, sözleşme ilişkisinin son bulduğu tarihten itibaren genel zamanaşımı süresince işlenmesi bakımından hukuka aykırılık bulunmadığı yönündeki değerlendirmelerden hareketle anılan kaydın silinmesine yer olmadığına ve söz konusu hususa ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

08.08.2024: “Bir e-ticaret platformu tarafından Kurula intikal ettirilen veri ihlal bildirimi"

Karar Tarihi	:	08/08/2024
Karar No	:	2024/1385
Konu Özeti	:	Bir e-ticaret platformu tarafından Kurula intikal ettirilen veri ihlal bildirimi

Veri sorumlusu tarafından Kuruma gönderilen kişisel veri ihlali bildirimi ve diğer yazılarda özetle;

Veri sorumlusunun, satıcı konumundaki kullanıcıların ürünlerini satabildikleri bir e-ticaret platformu olduğu,
Satıcılar tarafından diğer platform ve mecralarda kullanılan kullanıcı adı ve şifre bilgilerinin, yetkisiz kişi/kişiler tarafından veri sorumlusunun satıcı portalında denenerek bazı satıcı hesaplarına erişilmesi neticesinde ihlalin meydana geldiği,
İhlale konu kullanıcı adı ve şifre bilgilerinin veri sorumlusu sistemlerinden sızmadığı; yetkisiz kişi/kişilerin, başka platformlardan elde ettikleri bilgileri ihlale konu portalda deneyerek bazı satıcı hesaplarına eriştikleri,
İhlalin 02.02.2024-06.02.2024 tarihleri arasında gerçekleştiği,
Veri sorumlusunun siber güvenlik ekibi tarafından bir anomali tespit edildiği; müşteri ve satıcılardan gelen şikâyetler ile de ihlalin 06.02.2024 tarihinde tespit edildiği,
İhlalden 673 satıcı (satıcı yetkilileri ve gerçek kişi satıcılar) ile bu satıcı mağazaları üzerinden yakın zamanda satın alma işlemi yapan ve kişisel verileri yetkisiz kişi/kişiler tarafından indirilen 7.202 müşterinin etkilendiğinin log kayıtlarında yapılan analizlerde tespit edildiği,
İhlalden etkilenen 673 satıcı hesabının 107 tanesi üzerinde haksız kazanç sağlayabilme amacıyla IBAN değişikliği, yeni ürün listeleme ve ürün fiyatlarının düşürülmesi işlemleri ile ilgili satıcının erişebildiği müşteri bilgilerine erişilmesi işlemlerinin gerçekleştirildiği,
İhlalden etkilenen 7.202 müşterinin 1.213 tanesinin hesabında şüpheli sipariş oluşmasına neden olunduğunun tespit edildiği,
İhlalden etkilenen kişisel veri kategorilerinin;
- Satıcılar için; satıcı portalındaki kimlik (ad, soyadı, TCKN, imza), iletişim (telefon numarası, e-posta adresi), finans (IBAN, fatura) verileri,
- Müşteriler için; kimlik (ad, soyadı, TCKN), iletişim (telefon numarası, kargo adresi), müşteri işlem (satın alma geçmişi, kargo teslim tarihi ve saati, teslim alacak kişi adı ve soyadı), finans (fatura) verileri
olduğu

ifadelerine yer verilmiştir.

Kişisel veri ihlali bildiriminin, Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 08/08/2024 tarihli ve 2024/1385 sayılı Kararı ile;

Siber saldırgan/saldırganların; başka platformlardan elde ettikleri e-posta adresi bilgilerinin veri sorumlusunun satıcı portalında bulunup bulunmadığını veri sorumlusu sistemlerinde yer alan bir zafiyeti kullanarak kontrol ettiği, bu sayede ellerinde bulunan hesapların hangilerinin veri sorumlusunun satıcı portalında yer aldığını tespit edebildiği ve hedefli bir şekilde saldırıda bulunabildiği,
Satıcı portalına girişlerde “Bot” trafiğinin önlenmesi adına kullanılan uygulamanın (servisin) siber saldırgan/saldırganlar tarafından aşılabildiği, dolayısıyla bahse konu uygulamanın bu konuda yetersiz kaldığının söylenebileceği,
Satıcıların ihlale konu portala ilk defa giriş yapmaları ya da son IP’lerinden farklı bir IP adresinden giriş denemeleri yapmaları durumunda tetiklenen tek seferlik parola sisteminin ancak ihlalden sonra uygulamaya konulduğu; veri sorumlusunun, ihlal öncesinde alması gereken tedbiri ihlalden sonra aldığı,
Aynı IP adresinden ihlalin başladığı gün (02.02.2024) ve bir sonraki günde (03.02.2024) toplamda 400’ün üzerinde kullanıcı girişi (çok sayıda farklı kullanıcı adına olmak üzere) yapılmasına rağmen veri sorumlusunun, veri ihlalini bu tarihlerde değil de ancak müşteriler ve satıcılardan gelen şikâyetlerden sonra 06.02.2024 tarihinde tespit edebilmesinin ihlalin tespiti noktasında veri sorumlusunun geç kaldığının göstergesi olduğu,
Satıcıların (kullanıcı hesaplarına giriş yapmasının ardından) bilgi değişikliği ve giriş yapma süreçlerine çift faktörlü kimlik doğrulama (2FA) aşaması eklenmesi önleminin ancak ihlalden sonra alınan tedbirler kapsamında hayata geçirildiği; ihlalin olumsuz etkilerini azaltabilecek bir tedbirin ihlalin gerçekleşmesinden önce alınmadığı

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 3.250.000 TL idari para cezası uygulanmasına

karar verilmiştir.

24.08.2023: “Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi"

Karar Tarihi	:	24/08/2023
Karar No	:	2023/1465
Konu Özeti	:	Veri sorumlusuna ait internet sitesine yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi

Kuruma intikal ettirilen ihbar dilekçesinde özetle; ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği, konu ile ilgili çağrı merkezine bildirimde bulunduğu, akabinde sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Kişisel verilerin güvenliğini sağlamak amacıyla Kanun ve ilgili diğer mevzuat uyarınca gerekli her türlü teknik ve idari tedbirlerin alındığı, Kurum tarafından gönderilen savunma, bilgi ve belge talepli yazıya dair incelemelerin gerçekleştirildiği,
İlgili kişinin veri sorumlusuna ait internet sitesine kullanıcı girişi yaptığında açılan müşteri ekranında bir başka müşterinin kullanıcı bilgilerinin görüntülenmesinin sistemde yer alan kullanıcı bilgilerinin algoritma tarafından diğer kullanıcı bilgileri ile değiştirilmesi sonucu meydana geldiği,
Hatalı bilgi görüntülemesi sorununun, veri sorumlusunun merkez ofisi üzerinden yapılan rezervasyonun işleme alınışı esnasında rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta adres bilgisi girilmesinden kaynaklandığı, hatalı bilgi girişinin müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksattığı, sorunun sistemde güncelleme yapılarak kısa süre içinde düzeltildiği,
Aksaklığın başka kullanıcıları da etkileyip etkilemediğinin tespiti için veri tabanı taraması gerçekleştirildiği, bu taramada ilgili kişinin yanı sıra üç kişinin daha veri algoritmasında sorun yaşandığının tespit edildiği ve durumun düzeltildiği,
Benzer bir durumun tekrar yaşanmaması için algoritmalarda e-posta bilgisi ile müşteri bilgisi güncelleme fonksiyonunun tamamen devre dışı bırakıldığı,
Veri sorumlusu tarafından gerçekleştirilen kontrolde ihbar sahibi ilgili kişiye ait kişisel verilerin bir başka kullanıcı tarafından görüntülenmediğinin ve algoritma aksamasının söz konusu olmadığının tespit edildiği,
Algoritma aksaklığı nedeniyle herhangi bir veri sızıntısının olmadığı, oldukça az sayıdaki verinin sistemde görüntülenmesi noktasında aksaklık yaşandığı ve bu sorunun da kısa süre içinde çözüldüğü

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarih ve 2023/1465 sayılı sayılı Kararı ile;

İhbara konu olayda veri sorumlusuna ait internet sitesine kullanıcı girişi yapılmaya çalışılırken başka bir kullanıcının kişisel verilerinin görüntülendiği, ihbar sahibi ilgili kişiye ait kişisel verilerin ise üçüncü kişiler tarafından görüntülenmediği,
Kanunun 3’üncü maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği,
Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, nitekim ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu,
Kanunun 12’nci maddesi kapsamında veri sorumlularının kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları,
Veri kayıt sistemindeki algoritmanın yanlış çalışmasından dolayı ortaya çıkan durum dört farklı kişiyi etkilemiş ise de Kanun kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığı,
Kanunun 12’nci maddesinin (5) numaralı fıkrasında; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” hükmün yer aldığı ancak veri sorumlusu tarafından Kurula veri ihlal bildiriminde bulunulduğuna ilişkin bir beyanın savunma dilekçesinde yer almadığı gibi Kurum kayıtlarında da bildirime rastlanmadığı,
Öte yandan savunma dilekçesinde ihbar sahibine ait kişisel verilerin algoritmadaki yanlışlıktan etkilenmediği savunmasının yapıldığı ancak ilgili kişi tarafından Kuruma iletilen dilekçenin ihbar niteliği taşıdığı ve Kurul tarafından konu hakkında re’sen inceleme başlatıldığı,
Kanunun 15’nci maddesinin birinci fıkrasında “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmünün yer aldığı, bu kapsamda ihbar dilekçesi ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerinin ihlalden etkilenmesi gerekliliği bulunmadığı

değerlendirmelerinden hareketle;

Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
Savunma dilekçesinde, ihbarda bulunan ilgili kişiye ait kişisel verilerin ihlalden etkilenmediği savunması yapılmışsa da Kanunun 15’inci maddesinin birinci fıkrası kapsamında ihlal iddiasının öğrenilmesi durumunda re’sen görev alanına giren konularda incelemenin Kurul tarafından yapılacağı düzenlendiğinden ilgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda veri sorumlusunun bilgilendirilmesine,
İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesi Kanunun 12’nci maddesinin beşinci fıkrası kapsamında veri ihlal bildirimini gerektirmekte olup veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına

karar verilmiştir.

24.08.2023: “Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması"

Karar Tarihi	:	24/08/2023
Karar No	:	2023/1461
Konu Özeti	:	Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması

Kuruma intikal ettirilen şikâyet dilekçelerinde özetle; veri sorumlusunun ilgili kişilerden birinin kiracısı olduğu, kira uyuşmazlığı nedeniyle aralarında bir görüşme gerçekleştiği, daha sonra veri sorumlusu tarafından gönderilen ihtarnamede, yapılan görüşme esnasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği, bu doğrultuda ilgili kişiler tarafından veri sorumlusuna gönderilen cevap ihtarnamesinde ilgili kişilerin açık rızası dışında ses ve görüntü kaydının alınmasının Türk Ceza Kanunu’nun (TCK) 133’üncü maddesi vd. hükümleri gereği suç teşkil eden bir fiil olduğunun hatırlatıldığı, veri sorumlusu tarafından gönderilen ihtarnamede ise ilgili kişilerin ses ve görüntü kaydının açık rızası ve muvafakati olmadığı halde alınmasının veri sorumlusuna tanınmış yasal bir hak olduğunun belirtildiği, bununla birlikte veri sorumlusu tarafından ilgili kişilerden yalnızca birine cevap verildiği diğer ilgili kişiye ise cevap verilmediği belirtilerek gereğinin yapılması talep edilmiştir.

Kurul tarafından, “…veri sorumlusunun bir iş yeri olduğu göz önüne alınarak, veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirilebileceği, bu bakımdan Kanun’un 5’inci maddesindeki diğer veri işleme şartlarına dayanılması açısından ilgili kişinin görüntü kaydının açık rızası olmadan alınması hakkındaki şikayetiyle ilgili Kanun kapsamında yapılacak bir işlem olmadığı değerlendirilmekle birlikte, ilgili kişinin kendisine aydınlatma yapılmaması yönündeki soru ve taleplerinin veri sorumlusu tarafından karşılanmaması ve kamera kaydının hem görüntü hem ses kaydı içerdiğine ilişkin iddialar kapsamında ses kaydı yapılmasının “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesi çerçevesinde değerlendirilmesi bakımından inceleme başlatılmasına…” karar verilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Kendilerinin okul öncesi, ilk ve orta öğretim kurumları işlettiği, Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği’nin 11’inci maddesinde 2017 yılında yapılan değişiklikle, okullarda, bahçe giriş ve bina kapıları öncelikli olmak üzere, en az on beş gün süreyle görüntü kayıtlarını depolayacak güvenlik kamera sistemi kurulabilmesinin mümkün hale getirildiği, bu sebeple okullarda güvenlik amaçlı kamera ile görüntü ve ses kayıtlarının alındığı,
Bu amaçla da okulun genel kullanıma açık bulunan yerlerinde kameralarla görüntü ve ses kaydı yapıldığı, bu kameralardan bir tanesinin de kurucu odasında bulunduğu, bu hususun ilgili kişiler tarafından da bilinmekte olduğu,
Okul olarak kullanılan gayrimenkulün ilgili kişilerden kiralandığı ve bu sebeple ilgili kişiler ile kendileri arasında kiracılık ilişkisi bulunduğu, kiraya veren ilgili kişi ile yapılan görüşme esnasında, kira ödemesinin elden ve nakit olarak yapıldığı sırada görüntü ve ses kaydı alındığı, yapılan kira ödemesiyle ilgili kendilerine belge verilmesinin istenmesi üzerine kiraya veren ilgili kişinin böyle bir belgeye gerek olmadığını, ilişkinin güvene dayalı sürdüğünü ifade ettiği,
Bu beyandan sonra kiraya veren ilgili kişinin daha fazla kira ödemesi alabilmek maksadıyla kendileri tarafından ödenen parayı almadığını beyanla, yeniden kira bedeli ödemesi talep ettiği, talebin üzerine görüntü ve ses kayıtlarının kendilerinde mevcut olduğunun ve delil niteliğinde olduğunun kendisine ifade edildiği,
Kiraya veren ilgili kişi tarafından gönderilen ihtarnamede yer alan, görüntü ve ses kaydının izinsiz ve habersiz yapıldığı iddiasının doğru olmadığı ayrıca bu durumun TCK’nın 133’üncü maddesindeki suçu oluşturmayacağının kendisine izah edildiği, TCK'nın 133’üncü maddesindeki suçun oluşması için kişiler arasındaki aleni olmayan konuşmaların, konuşmanın tarafı olmayan kişi ya da kişilerce kayda alınmış olması gerektiği, somut olayda böyle bir durumun söz konusu olmadığı,
Bu itibarla, görüntü ve ses kayıtlarının kendileri tarafından kiraya veren ilgili kişiye ödenen kira bedellerinin alınmadığı iddiası ve hak edilmemiş bir paranın istenmesi sebebiyle, paranın ödenmiş olduğunun ispatlanması amacıyla ve güvenlik önlemleri gereğince alındığı; delil mahiyetinde olması nedeniyle de kiraya veren ilgili kişiye bu kayıtların verilemeyeceğinin bildirildiği,
Öte yandan, diğer ilgili kişinin kendileri ile herhangi bir hukuksal ilişki içinde olmadığı, bu nedenle bir verisinin işlendiğinden de bahsedilemeyeceği,
Olayın yaşandığı tarih bakımından kendilerinin 50 çalışana sahip olmaması nedeniyle, Kanun’dan doğan sorumluluğunun bulunmadığı, ayrıca 50 çalışanı bulunsa dahi gerçekleşen olay nedeniyle, Kurum tarafından tanınan süre içinde VERBİS kaydı oluşturulmasının gerekli olmadığı, bu anlamda kendilerinin, Kanun anlamında herhangi bir yükümlülüğünün bulunmadığı, alınan kayıtların da Kanun uyarınca alınmadığı,
Kendilerinin kanuni bir sorumluluğu bulunmadığından istenen bilgileri şikâyet edenlere verme yükümlülüğünün de bulunmadığı, ayrıca diğer ilgili kişi ile ilgili herhangi bir kişisel veri de işlenmediği için talebi ile alakalı herhangi bir cevap verilmediği,
Sonuç olarak, alınan görüntü ve ses kayıtlarının delil elde etme amaçlı olduğu, Kanun’a aykırı bir yön taşımadığı, kayıtların delil niteliğinde olması nedeniyle yargı makamları nezdinde kullanılacağı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarihli ve 2023/1461 sayılı Kararı ile;

Veri sorumlusunun Kurumu muhatap cevap yazısında, okulun genel kullanımına açık bulunan yerlerde Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca mümkün hale getirildiğinden bahisle ve güvenlik amacıyla görüntü ve ses kaydı yapıldığı belirtilmişse de ilgili mevzuat incelendiğinde görüntü kaydı alınabilecek yerlerin sayıldığı ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı görülmekte olup söz konusu hükümlerin yalnızca görüntü kaydına yönelik olduğu ve ses kaydı alınmasını meşru hale getiren özel bir hüküm ihdas etmediği,
Kameralar vasıtasıyla alınan görüntü kaydının her durumda meşru bir gereklilik teşkil etmediği, bu yolla kişisel veri işleme faaliyetinin Kanun’a uygun olması için görüntü kaydının alınmasını gerektiren amaca makul başka türlü yöntemlerle ulaşmanın mümkün olmaması gerektiği, kaydın alınmasını gerektiren sebebin kişilerin temel hak ve özgürlükleri ile çatışması halinde üstün tutulacak bir menfaate işaret etmesi gerektiği,
Görüntü kaydına ek olarak ses kaydının da alınmasının; kişisel verinin işlenmesi yönünden meşru bir menfaatin bulunup bulunmadığı, çatışan menfaatlerin söz konusu olup olmadığı ve meşru bir menfaatin bulunması halinde dahi işlemenin ölçülü olup olmadığının değerlendirilmesini gerektirdiği, veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği, öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu, güvenlikleri için gerekli tüm işlemlerin hassasiyetle yürütülmesi gerektiği ve çalışanları açısından iş sağlığı ve güvenliği amaçlarını gerçekleştirme ihtiyacı bir arada düşünüldüğünde kamera vasıtasıyla görüntü kaydı alınmasının bu amaçları gerçekleştirmeye elverişli, meşru ve ölçülü bir işleme faaliyeti olduğu, böylesi bir durumda görüntü kaydına ek olarak ses kaydı alınması gerekliliği söz konusu olmadığı gibi daha fazla verinin işlenmesinin, verisi işlenen tüm ilgili kişilerin özel hayatlarının gizliliği hakkı genelinde ve kişisel verilerinin korunması hakkı özelinde bir menfaat çatışması doğurduğu, öte yandan, güvenlik gerekçeleri ile kamera kaydı alınmasının yaygın bir uygulama olduğu ancak aynı gerekçe ileri sürülerek ses kaydı alınmasının, kişisel verisi işlenen ilgili kişilerin makul beklentilerinin ötesinde olduğu,
Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/78 sayılı Kararında da belirtildiği üzere Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından değerlendirilmesi gereken birtakım hususların bulunduğu,
Bunlar içerisinde “söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi” ve “ilgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması” kriterleri ele alındığında, halihazırda kamera ile görüntü kaydı alınması güvenliği sağlama amacı ile bağdaşmakta ve bu amacı gerçekleştirmeye yeterli olmakta iken ilaveten ses kaydı alınmasında veri sorumlusunun meşru menfaati bulunmadığı, zira zorunluluk arz etme ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması şartının ortadan kalktığı,
Görüntü kaydı yerine yalnızca ses kaydının alındığı varsayımında dahi bu işlemeyi mecburi kılacak bir sebebin bulunmadığı hallerde kişiler arasındaki iletişimin devamlı olarak kayıt altına alınmasının başta özel hayatın gizliliği hakkı olmak üzere kişinin maddi ve manevi varlığının korunması gibi birtakım diğer temel hak ve özgürlüklerine ağır bir müdahale teşkil edeceği, bu durumda çatışan menfaatler arasındaki denge testinin dikkatli biçimde yapılması ve işlemeyi mecburi kılacak sebeplerin genişletilmemesi gerektiği,
Somut olayda, ilgili kişiler ve veri sorumlusu arasındaki bir ihtilafın çözümünde delil olarak kullanılmak üzere ve aynı zamanda güvenlik amacıyla ses verisinin işlenmesinin, ses verisini işlemeyi mecburi kılacak bir sebep olarak nazara alınamayacağı, bu nedenle görüntü kaydı alınmaksızın yalnızca ses kaydının alındığı durumda dahi kişisel verinin meşru menfaat kapsamında işlenmesinin söz konusu olmayacağı,
Veri sorumlusunun ses kaydı alma yönündeki uygulaması Kanun’a uygun bulunmadığından söz konusu işleme faaliyetinin her halde hukuka aykırı olduğu ve bu sebeple aydınlatma yükümlülüğünün yerine getirilip getirilmediği hususunun ayrıca incelenmesine gerek bulunmadığı, buna karşılık görüntü kaydı alınmasında Kanun’a uygun bir işleme sebebi bulunduğundan hukuka uygun olan kişisel veri işleme faaliyeti açısından aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin de ayrıca ele alınması gerektiği,
Her ne kadar ilgili kişilerin görüntü kayıtlarının açık rızaları olmaksızın alınması yönünden Kanun’a aykırılık bulunmasa da “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde belirtildiği üzere aydınlatma yükümlülüğünün gerek açık rızadan gerekse de Kanun’daki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Usul ve Esaslar” başlıklı 5’inci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun aydınlatma yükümlülüğünün yerine getirmesi gerektiği, aynı maddenin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükünün veri sorumlusunda olduğu, veri sorumlusu tarafından ilgili kişilere aydınlatma yapıldığı hususunun ispatlanamadığı

değerlendirmelerinden hareketle;

Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesinin birinci fıkrasına aykırı hareket edildiği değerlendirilmiş olup bu doğrultuda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL,
Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) bendinde yer alan“ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL

olmak üzere toplam 230.000 TL idari para cezası uygulanmasına,

İlgili kişilerin veri sorumlusuna başvuruları neticesinde erişemedikleri, kendileri ile ilgili kişisel verilerin ilgili kişilere sağlanması ve hukuka aykırı olarak işlenen ses verilerinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin soru ve taleplerinin veri sorumlusu tarafından karşılanmadığı iddiası yönünden ise ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

17.08.2023: “Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi"

Karar Tarihi	:	17/08/2023
Karar No	:	2023/1430
Konu Özeti	:	Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Çalışanların, işverenlerinin kendilerine sağladığı yemek kartlarını kullanarak yemek harcamalarını gerçekleştirebildiği, yemek kartlarının mobil yemek kartı ve fiziki yemek kartı olmak üzere ikiye ayrıldığı ve işverenin bu kartlardan dilediğini tercih edip çalışanlarına kullandırabildiği,
Mobil yemek kartları verilirken çalışan ilgili kişilerin telefon numarası verileri, işveren aracılığıyla taraflarınca işlendiği için uygulamada telefon numarası ile doğrulama yapılarak ilgili kişilerin T.C. kimlik numarasının istenmediği,
Fiziki yemek kartlarının kullanılması için uygulamaya kayıtlı olunması gerekmediği ve bu kartların anonim olarak fiziki ödeme yöntemi ile kullanılabildiği, ancak çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, fiziki yemek kartları verilirken çalışanlara ait herhangi bir veri taraflarınca işlenmediği için uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve girilen bilgilerin T.C. kimlik numarası ile doğrulandığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Kararı ile;
Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı

değerlendirmelerinden hareketle,

Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına,
Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler açısından daha büyük zarara yol açacağı gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası bilgisiyle yapılması gibi yöntemlerle sağlanarak T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İşlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun’un 7’nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

31.08.2023: “İlgili Kişinin Kişisel Verilerinin Bir Banka Tarafından Kredi Kayıt Bürosu AŞ’ye Aktarılması"

Karar Tarihi	:	31/08/2023
Karar No	:	2023/1509
Konu Özeti	:	Konu Özeti : İlgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması

Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin kişisel verilerinin Kişisel Verilerin Korunması Kanunu’nun (Kanun) 8’inci maddesinin birinci fıkrası uyarınca kredi kuruluşları ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (Şirket/KKB) aktarılması konusunda veri sorumlusu bankaya başvurduğu, söz konusu başvuruda kişisel verilerinin aktarılmasını kabul etmediğini ifade ettiği ve bu konudaki açık rızasını geri çekme talebinde bulunduğu, ancak talebinin reddedildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Müşterileri ve müşteri adayı ilgili kişiler yönünden, kredi/kredi kartı talepleri, talep edilmiş olan kredi ürünlerinin tahsis imkanının ve tahsis limitlerinin belirlenebilmesi, mevcut kredi ve risk grubu bilgilerinin sorgulanması amaçlarıyla Şirket ile veri paylaşımı yapıldığı, ilgili kuruluş nezdinde sorgu yapılabilmesi için kişilerin ad, soyadı ve T.C. kimlik numarası bilgilerinin paylaşıldığı,
Şikâyete konu olay özelinde ilgili kişinin ADK (Alternatif Dağıtım Kanalları-Mobil Bankacılık) kanalıyla başvuru yapmış olduğu, bu başvurularına istinaden Şirket nezdinde sorgularının otomatik olarak yapıldığı, ilgili kişinin kredi taleplerine ilişkin olarak adı, soyadı ve T.C. kimlik numarası verilerinin otomatik sorgu yoluyla Şirket’e aktarıldığı, bunun dışında başkaca bir paylaşımın söz konusu olmadığı,
Bazı Alacakların Yeniden Yapılandırılması ile Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve Diğer Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun (6111 sayılı Kanun) ile 5411 sayılı Bankacılık Kanunu’na (5411 Sayılı Kanun) eklenen Ek 1’inci Madde ile Türkiye Bankalar Birliği (TBB) nezdinde kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu’nca (BDDK) uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezi (RM) kurulduğu, söz konusu ek madde gereği kredi kuruluşları ile BDDK tarafından uygun görülecek finansal kuruluşların Risk Merkezine üye olmak zorunda olduğu, üye kuruluşların, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğu,
Şikayete konu kişisel veri aktarımının yapıldığı Şirket’in 5411 Sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasında öngörüldüğü üzere kredi kuruluşları (mevduat bankaları ile katılım bankaları) ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere dokuz banka tarafından kurulmuş bir şirket olduğu, TBB Risk Merkezine vekaleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve zikredildiği üzere müşterilerinin kredi taleplerine istinaden Şirket ile paylaşım yapılmakta olduğu,
Kanun’un 8’inci maddesinin kişisel verilerin aktarılmasına ilişkin olarak ilgili kişinin açık rızasının varlığını esas olarak belirtmekle birlikte Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki şartlar altında ilgili kişinin açık rızası aranmaksızın da aktarılabileceği hükmünü amir olduğu, açıklanan amaçlarla KKB’ye veri aktarımı yapılmasının hukuki sebeplerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentleri kapsamında olduğu,
5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasının “… gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi... sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğünün dışındadır.” hükmünü amir olduğu,
Ayrıca, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde de benzer bir hükmün düzenlendiği,
Banka müşterilerinin aynı zamanda müşteri sırrı niteliğindeki verileri anılan mevzuat hükümleri doğrultusunda sır saklama yükümlülüğünün istisnaları kapsamında olduğundan kişilerin açık rızasının veya talep/talimatının alınmasına gerek bulunmadığı,
Şirket ile yapılan bilgi paylaşımının, 5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrası ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında sır saklama yükümlülüğünden istisna tutulan hallerden olduğu, yine durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kalmasından açık rıza alınmasına hukuken gerek bulunmadığı, Şirket ile yapılan veri paylaşımlarında açık rıza alınmasını gerektirecek nitelikte bir paylaşım da bulunulmadığı, ilgili kişiden bu kapsamda alınmış bir açık rızaya gerek bulunmadığından açık rızasının alınmadığı, ilgili kişinin mevcut olmayan ve hukuken alınmasına da gerek bulunmayan açık rızasını geri çekme talebinin anılan yasal düzenlemeler gereği olumlu karşılanmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 31/08/2023 tarih ve 2023/1509 sayılı Kararı ile;

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin 5 inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinde veri sorumlusunun, Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun hükme bağlandığı,
5411 sayılı Kanun’un “Risk Merkezi” başlıklı Ek 1’inci maddesi hükmünün “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir... Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler... Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.” şeklinde düzenlendiği,
Mezkûr Kanun’un “Sırların saklanması” başlıklı 73’üncü maddesinin (4) numaralı fıkrasının “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünü havi olduğu,
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5’inci maddesinin (2) numaralı fıkrasının (a) bendinin “Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması”nın sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği şeklinde hükme bağlandığı,
Şirket’in internet sitesinde; 5411 Sayılı Kanun’un Ek 1’inci maddesi ile TBB nezdinde kredi kuruluşları ile BDDK’ce uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezinin kurulduğu, Türkiye Cumhuriyet Merkez Bankası nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin, 28 Haziran 2013 tarihinde faaliyete geçtiği, Şirket’in TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve bankalar, tüketici finansman şirketleri, leasing, faktoring ve sigorta şirketleri olmak üzere hem Risk Merkezi hem de kendi üyelerini içeren 200’e yakın üyesi bulunduğu bilgilerinin yer aldığı,
Kişisel verilerin ilgili kişinin açık rızası veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları bulunmadan işlenemeyeceği, bununla birlikte, açık rıza ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları arasında hiyerarşik bir ilişki bulunmadığı, kişisel veri işleme faaliyeti Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamakla birlikte ilgili kişinin açık rızasının bulunmadığı veyahut açık rızasını geri aldığı itiraz ve beyanlarının da hukuken bir geçerliliğinin olmadığı, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla aldatıcı ve veri sorumlusunca hakkın kötüye kullanımı niteliğinde olacağı, nitekim, somut olayda da ilgili kişinin açık rızasına binaen bir işleme faaliyeti gerçekleştirilmediği, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentlerinde belirtilen işleme şartlarının somut olayda gerçekleştirilen kişisel veri işleme faaliyetinde mevcut olduğu,
Anılan mevzuat hükümleri ile tarafların Kurum’a sunduğu bilgi ve belgeler birlikte ele alındığında; bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince, veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin atfı ile 5’inci maddesinin (2) numaralı fıkrasına uygun olduğu,
Öte yandan, veri sorumlusu bankanın ilgili kişinin başvurusuna verdiği cevabi yazıda ilgili kişinin talebinin reddedilmesine ilişkin gerekçelere yer verilmediğinin görüldüğü

değerlendirmelerinden hareketle;

Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına,
Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına

karar verilmiştir.

17.08.2023: “İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması"

Karar Tarihi	:	17/08/2023
Karar No	:	2023/1414
Konu Özeti	:	İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması

Kuruma intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin gördüğü lüzum üzerine şahsına ve çocuklarına ait DNA testi yaptırma gereği duyduğu ve testi gizlilik sınırları içinde yapması için bir şirket ile anlaştığı, şirketin ilgili kişiye ve çocuklarına ait DNA raporlarını kâğıda basıp normal posta veya kargo yoluyla göndermeyip şifresini sadece ilgili kişinin bildiği ilgili kişiye ait e-posta adresine gönderdiği, ilgili kişinin DNA raporlarını hiçbir yerde hiçbir kimseyle paylaşmadığı, buna karşılık görülmekte olan bir alacak davasında karşı tarafın avukatı olan veri sorumlusu tarafından ilgili kişinin şahsına ve çocuklarına ait -DNA raporları kapsamındaki- kişisel verilerin çeşitli programlar kullanılarak ilgili kişiye ait e-posta adresinden hukuka aykırı olarak ele geçirildiği ve veri sorumlusunun ele geçirdiği bu bilgileri alacak davasında kendisi aleyhine kullandığı ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

İlgili kişinin DNA testi raporlarının, ilgili kişinin çocuklarının da DNA testlerinin bulunduğu çeşitli dava dosyalarına taraflar eliyle sunulduğu,
İlgili kişinin uyuşmazlık yaşadığı aile üyelerine karşı şahsi husumeti sebebiyle açılan soy bağının tespiti davasında müvekkili olan aile üyelerinin talebiyle dava dosyasına sunulmuş olduğu,
Veri sorumlusunun, ilgili kişinin eski eşi ve çocuklarının vekaleti kapsamında dava sürecinde bu bilgi ve belgelere vakıf olduğu, söz konusu DNA testlerinin kendilerinden alınan örnekler neticesinde çıkan test sonuçları olduğu ve aynı anda hem çocuklarının hem de (babaları olan) ilgili kişinin verilerini içerdiği, bunun ise veri sorumlusunun avukatlık hizmeti kapsamında işlemesi gereken kişisel veriler olduğu, bunların dışında kalan amaçlar çerçevesinde veri sorumlusunca söz konusu kişisel verilerin işlenmediği,
İlgili kişinin soy bağının reddi davasının yanı sıra menfi tespit davası ve icra takip davası gibi süreçlerle veri sorumlusunun vekaletini üstlendiği aile üyelerinin kişisel verilerini işlediği,
İlgili kişinin şikayetinde veri sorumlusunun şahsına ve müvekkili olan aile üyelerine karşı açtığı bazı davaları kaybetmesi sonucunda husumetle hareket ederek suç uydurma suçu işlemiş olduğu, bu sebeple şikâyetin Kurulca reddedilmesi gerektiği,
İlgili kişinin çocuklarına ait örnekleri zorla temin ederek teste tabi tuttuğu ve çocuklarının özgür iradesini sakatlamış olması bakımından Cumhuriyet Başsavcılığı nezdinde ilgili kişi aleyhinde suç duyurusunda bulunulduğu,
İlgili kişinin çocuğunun tanık olarak dinlendiği soruşturma sırasında kendisine ait örnekleri kendi rızası ile annesine verdiği ve onun da açık rızası çerçevesinde veri sorumlusuna ibraz ettiği,
Söz konusu kişisel veri işleme faaliyetinin veri sorumlusunun avukatlık görevi çerçevesinde ilgili kişinin çocuklarının açık rızalarına dayanmak suretiyle işlendiği ve ilgili kişinin de taraf olduğu davalara konu olması bakımından bu verileri işlemesi önünde hukuki bir engel bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1414 sayılı kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri biyometrik ve genetik verileri özel nitelikli kişisel veridir.”, (2) numaralı fıkrasında ise “Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmünün düzenlendiği, aynı maddenin (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin ifade edildiği,
1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” hükmü ve 35’inci maddesinde ise “Kanun işlerinde ve hukuki meselelerde mütalaa vermek, mahkeme, hakem veya yargı yetkisini haiz bulunan diğer organlar huzurunda gerçek ve tüzel kişilere ait hakları dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait bütün evrakı düzenlemek, yalnız baroda yazılı avukatlara aittir.” hükmünün düzenlendiği,
Medeni yargılama hukukunda uygulanacak usul ve esasların 6100 sayılı Hukuk Muhakemeleri Kanunu’nda (HMK) düzenlendiği; HMK’nin “İspatın konusu” başlıklı 187’nci maddesinin “İspatın konusunu tarafların üzerinde anlaşamadıkları ve uyuşmazlığın çözümünde etkili olabilecek çekişmeli vakıalar oluşturur ve bu vakıaların ispatı için delil gösterilir.”; “İspat yükü” başlıklı 190’ıncı maddesinin “İspat yükü, kanunda özel bir düzenleme bulunmadıkça, iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa aittir…” ; “Karşı ispat” başlıklı 191’inci maddesinin “Diğer taraf, ispat yükünü taşıyan tarafın iddiasının doğru olmadığı hakkında delil sunabilir...”; “Tarafların belgeleri ibrazı zorunluluğu” başlıklı 219’uncu maddesinin ise “Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadırlar.” hükümlerini haiz olduğu,
İlgili kişinin Kuruma sunduğu şikâyette iddialarını destekler mahiyette belge sunmamış olduğu, bunun yerine yalnızca veri sorumlusuna yaptığı başvuru örneğine yer verdiği,
Veri sorumlusunun veya davaya taraf olan ilgili kişinin eski eşi ve çocuklarının, ilgili kişiye ait DNA raporlarına hukuka aykırı biçimde (e-posta hesabına ele geçirmek suretiyle vb.) eriştiğine dair bir delilin bulunmadığının görüldüğü,
Genetik veri kategorisinde olan DNA test raporunun yalnızca ilgili kişiye ait bilgileri içermediği, ilgili kişinin çocuklarına da ait bir rapor olması bakımından çocuklarıyla ortak bir kişisel veri niteliğinde olduğu, örnek olayın şartları gözetildiğinde bu belgenin mahkemeye aktarılması sebebiyle ilgili kişinin verisinin güvenliği bakımından aleyhinde bir sonuç doğurmasından bahsedilemeyeceği,
Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmünün yer aldığı,
Avukatlık Kanunu’nun 2 ve 35’inci maddelerinin yanı sıra HMK’nin 219’uncu maddesindeki hükümler göz önünde bulundurularak söz konusu genetik verilerin veri sorumlusunca işlenmesinin Kanun’un 6’ncı maddesinin (3) numaralı fıkrasına uygun bir işleme faaliyeti olduğu ve ilgili mahkemelere aktarılmasının da Kanun’un 8’inci maddesine uygun bir kişisel veri aktarım faaliyeti olduğu

değerlendirmelerinden hareketle;

İlgili kişiye ait genetik veri kategorisindeki DNA test raporlarının aynı zamanda ilgili kişinin çocuklarına ait raporlar olduğu göz önünde bulundurularak söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının Kanun’un 8’inci maddesinin 2 numaralı fıkrası kapsamında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer verilen sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmüne uygun olduğu değerlendirildiğinden Kanun kapsamında yapılacak bir işlem olmadığına,
Söz konusu kişisel verinin İlgili Kişinin e-posta adresine hukuka aykırı biçimde erişilmek suretiyle Veri Sorumlusunca ele geçirildiğini gösterir bir belgeye yer verilmemiş olduğu anlaşıldığından bahse konu şikâyet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

10.08.2023: “Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi"

Karar Tarihi	:	10/08/2023
Karar No	:	2023/1356
Konu Özeti	:	Bir işveren tarafından işe iade davasına ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi

Kuruma intikal ettirilen şikayette özetle;

İlgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı,
İşe başladığı tarih itibarıyla şirket tarafından bu konuda aydınlatma yapılmadığı ve açık rızasının alınmadığı,
Şirket tarafından ilgili kişinin iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalanmasının kendisinden istendiği ve belgeleri imzalamak istememesi üzerine, bir şirket çalışanı tarafından gönderilen bir elektronik posta ile belgelerin imzalanması gerektiğinin bildirildiği,
İşten çıkarılma korkusuyla işe giriş tarihi yazılarak açık rıza metinlerini imzalamak zorunda bırakıldığı, bu şekilde alınan rızanın özgür iradesini yansıtmadığı, söz konusu rıza metninde de şirket tarafından mescit içerisinde görüntü kaydı alma konusunda açıkça bir ifadenin bulunmadığı ve bu konuda bir bilgilendirme yapılmadığı,
Şirket tarafından ibadethanede veri kaydı yapıldığına ilişkin özellikle bir bilgilendirme işaretinin de bulunmadığı, şirketin ibadethane içerisindeki görüntüleri kayda almasında diğer işçilerle arasında ayrımcılık yapmak amacının bulunduğu, ibadet eden çalışanlar ile ibadet etmeyen çalışanların tespit edilerek iş yerinde farklı muamelelere maruz bırakıldığı,
İbadethanede kaydedilen görüntülerin şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği

ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ilgili şirketten savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin şirket bünyesinde belirli tarihler arasında elektrik elektronik mühendisi olarak çalıştığı, çalışma süresi boyunca görev kapsamına giren işlerini aksattığı, işe gelmediği ve haksız ithamlarla şirket ve yetkilileri aleyhine gazetede yalan haber yaptırdığı gerekçeleriyle iş akdinin feshedildiği,
Fesih sonrası ilgili kişinin işe iade davası açtığı ve kendini haklı göstermek için iş yerinde kendisine namaz kıldırılmadığı, ayrımcılığa maruz kaldığı gibi doğru olmayan iddialarda bulunduğu,
Şirket bünyesinde yaklaşık 20 yıldır mescit bulunduğu, isteyen herkesin iş akışını aksatmayacak şekilde iş yerindeki mesailerine denk gelen vakit namazlarını kılabildiği, ilgili kişinin de mescitte ibadetlerini yerine getirdiği,
İlgili kişi tarafından yaptırılan haber hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu; suç duyurusunun ekinde haber konusu yapılan yalan beyanı veren ilgili kişinin gerçekte iş yerindeki mescidi hiçbir sorun olmadan kullanabildiği, ibadetlerini rahatlıkla yaptığı, haberdeki iddiaların gerçek dışı olduğunun ispat edilebilmesi için bazı kamera görüntülerinin sunulduğu,
İlgili kişinin şikâyetine konu kamera görüntülerinin iş yerinde güvenlik amacıyla işlendiği, üretim faaliyeti nedeniyle iş sağlığı ve güvenliği açısından iş yerinin "çok tehlikeli" sınıfta yer aldığı, dolayısıyla iş yerinde kamera sistemi ile veri işleme faaliyetinde bulunulduğu, şirket girişinde yer alan ziyaretçi aydınlatma tabelası ve kamera uyarı levhaları vasıtasıyla ilgili kişilerin de bu hususta aydınlatıldığı,
İlgili kişiye sunulan aydınlatma metni içerisinde fiziksel mekân güvenliği olarak kamera kayıtlarının işlenen veriler arasında sayıldığı, hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile haklarının da belirtildiği, mescit içerisinde yaşanacak herhangi bir olayın takibi amacıyla "fiziksel mekân güvenliği" verisi olarak işlendiği,
Mescidin iş yeri sınırlarının içinde yer alması, bağımsız bir bölüm olmayıp üretim alanının içerisinde yer alması ve iş yerindeki revir bölümüne de mescit için ayrılan bölümden geçiş sağlanması nedeniyle mescitte uyarı levhaları ile aynı kamera sisteminin bulunduğu,
Ayrıca, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu ve Borçlar Kanunundan doğan "gözetim ve denetim" faaliyetinin yerine getirip getirilmediği konusunda ispat külfetinin bulunması sebebiyle de kamera sistemi ile veri işleme zorunluluğunun bulunduğu,
Kamera kayıtları ile çalışanların özel nitelikli kişisel verilerinin işlenmediği ve bunun özel nitelikli kişisel veri de sayılamayacağı, şirket bünyesinde hiçbir çalışanın özel nitelikli kişisel verisi olan "dini, mezhebi veya diğer inançlar"a ilişkin bir verisinin işlenmediği ve bu nedenle işlenmeyen bir veri için ilgili kişiden açık rıza istenmediği,
İşe iade davasında yerel mahkeme tarafından işe iade kararı verilmesine rağmen şirket tarafından söz konusu karara itiraz edildiği ve dosyanın istinaf aşamasında olduğu,
Şirket personeline ve ilgili kişiye mevzuata ilişkin her türlü eğitimin verildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/08/2023 tarih ve 2023/1356 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun'un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un özel nitelikli kişisel verilerin işlenme şartları başlığını taşıyan 6’ncı maddesinin (1) numaralı fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olduğu; (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu; (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği; (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğuna hükmedildiği,
Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde; kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun hükme bağlandığı,
Söz konusu iddialar ve veri sorumlusu tarafından Kurumumuza gönderilen cevap yazısı incelendiğinde; güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verinin işlenmesinin mümkün olduğu,bu çerçevede, öncelikli olarak veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri olup olmadığının değerlendirilmesi gerektiği, şikâyete konu olayda veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceği, bu anlamda Kanun’un 6’ncı maddesi çerçevesinde bir değerlendirme yapılmasının uygun olacağı,
Kanun kapsamında açık rızanın; “Tanımlar” başlıklı 3’üncü maddenin (1) numaralı fıkrasının (a) bendinde ‘Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, dolayısıyla, açık rızanın, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olduğu, ilgili kişilerin rıza vermemesi ve rızayı geri çekmesinin mümkün olmadığı hallerin, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu (Kişisel Verileri Koruma Kurumu, Açık Rıza Rehberi,, s.6.) güç dengesizliğinin bulunduğu istihdam ilişkisinde var olabildiği, çalışana rıza göstermeme imkanının etkin bir biçimde sunulmadığı durumlarda gerçek bir seçeneğe sahip olunduğunu söylemenin mümkün olmayacağı,
Söz konusu olayda, ilgili kişiye veri sorumlusu çalışanı tarafından gönderilen elektronik posta içeriğinden anlaşılacağı üzere açık rızanın özgür irade ile verilmediği ve ilgili kişinin işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı,
Söz konusu veri işleme faaliyetinin her halükârda Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olması gerektiği, çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların mahremiyet beklentilerini zedeler nitelikte ve özel alanlarının işgali niteliğinde sayılabileceği,
Veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanun’un 6’ncı maddesinde yer alan işleme şartlarından birine ve bunun yanı sıra veri sorumlusu tarafından ifade edilen meşru menfaat kavramına dayandırılamayacağı, ayrıca söz konusu özel nitelikli kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olmadığı, nitekim mescidin, veri sorumlusunun çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığı, ayrıca Kanunlarda iş ilişkilerinde ibadethanelerin gözetlenebilmesini uygun gören açıkça bir hükmün bulunmadığı dikkate alındığında ibadethanenin kamera ile izlenmesinin hukuka uygun bir veri işleme olmayacağı,
Dolayısıyla, tüm bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından mescitte kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetine ilişkin ilgili kişinin açık rızasını özgür irade ile vermediği ve işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı kanaatine varıldığından Kanun’un 6’ncı maddesi kapsamında herhangi bir veri işleme şartına dayanılmaksızın veri işleme faaliyetinin gerçekleştirildiği, diğer taraftan açık rıza alınsa dahi söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edeceği sonucuna varılmakta olup, bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil etmesi nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına,
Şikâyete konu kişisel veri işleme faaliyetinin Kanun’un 15’inci maddesinin (7) numaralı fıkrası kapsamında ivedilikle durdurulması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
Şikâyete konu hukuka aykırı olarak işlenen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

03.08.2023: “İlgili kişinin kişisel verilerinin, konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması"

Kuruma intikal eden şikayette özetle; sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, bu belgenin veri sorumlusunun bünyesinde üretilen bir belge olduğu, söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği, diğer yandan veri sorumlusunca aydınlatma yükümlülüğünün de yerine getirilmediği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

Kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları ve sorumlu olduğu odaların takibinin yapılabilmesi amaçlı Housekeeping Task Sheet isimli tek sayfalık matbu belge düzenlendiği, bu belgede müşterilerin yalnızca isim-soy isimlerinin ve oda numaralarının yer aldığı, ilgili belgenin otelcilik hizmeti sunan tüm şirketlerde kullanılan standart bir belge olduğu,
Söz konusu belge kapsamında isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği, bu noktada acil durumlarda kişiye seslenilebilmesi, doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği,
Mezkûr belgenin Kat Hizmetleri Departmanı’nın fiziksel arşivinde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde 3 ayda bir periyodik olarak imha edildiği,
İlgili kişi ile sosyal medya hesabı bulunan kişi arasında gerçekleştirilen görüşmenin tarihi itibarıyla ilgili kişiye ilişkin Housekeeping Task Sheet belgesinin imha edilmiş olduğu, haliyle herhangi bir kişi tarafından erişilmesinin mümkün olmadığı,
Housekeeping Task Sheet isimli belgenin aslının veri sorumlusunda bulunma imkanıdahi bulunmadığından veri sorumlusunun kayıtlarındaki belge ile uyuşup uyuşmadığının tespit edilmesinin mümkün olmadığı, ilgili kişinin şikayetine ek yapılan Housekeeping Task Sheet isimli belgenin içeriğinin okunamadığı, üzerinde bazı karalamalar olduğu,
Veri sorumlusunun kişisel verilerin güvenliğini sağlamak üzere tüm önlemleri aldığı, bu doğrultuda veri sorumlusunun bu konuda gerekli soruşturmayı yürüttüğü ve paylaşım olasılığına dair herhangi bir bulguya rastlamadığı,
Öte yandan ilgili kişinin kişisel verilerini elde ettiğini iddia eden sosyal medya kullanıcısı ile konuşmalarında birçok çelişki yer aldığı, mevcut tüm bilgi ve belgeler çerçevesinde ilgili kişinin iddialarının gerçeği yansıtmadığı, ilgili kişinin Otel’de konakladığı bilgisini sosyal medyada paylaşmış olduğu,
Belgenin orijinal olup olmadığı ile sosyal medya kullanıcısının varlığının tespiti açısından belirleyici olacağından Savcılık tarafından yürütülen soruşturmanın sonuçlanmasının beklenmesinin gerektiği,
Diğer yandan, veri sorumlusunun misafirlerine ilişkin hazırlamış olduğu aydınlatma metinlerini misafirlerin verilerinin ilk elde edildiği sırada Registration Card vasıtasıyla sunduğu ve ilgili doküman kapsamında misafirlerini kişisel verileri işlenen süreçlere yönelik bilgilendirdiği, bununla birlikte matbu olarak sunulan aydınlatma metni haricinde otelde konaklayan ve konaklamayı planlayan herkes için açık bir şekilde internet sitesinde aydınlatma metninin bulunduğu, ilgili kişiye verilen yanıttan sonraki tarihte internet sitesinde bazı çalışmalar gerçekleştirildiği ve yeni URL adresleri eklendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 sayılı Kararı ile;

İlgili kişinin şikâyetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen “Housekeeping Task Sheet” belgesinin oteldeki temizlik- bakım hizmetleri için görevleri ve programı belirlemek amacıyla oluşturulduğu ve Temizlik Görev Kâğıdı olarak çevrilebileceği, belge kapsamında işlemeye konu oluşturabilecek kişisel verilerin konaklayanın adı, soyadı, unvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu, bu belgenin Kat Hizmetleri Departmanı tarafından hazırlanarak, kat hizmetleri görevlisi olan kişilere verildiği, bu doğrultuda kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğu,
Kişisel verilerin işlenmesine ilişkin olarak, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin uygun olarak gerçekleştirilmesi gereken ilkelerin Kanun’un 4’üncü maddesinde düzenleme altına alındığı,
Kanun’un 4’üncü maddesinin 2 numaralı fıkrasının (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği,
Her ne kadar veri sorumlusunca mezkur belgede isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediği, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, bu amacın kişisel verilerin korunması hakkı karşısında mutlak olarak korunmaya değer bir menfaat niteliği taşımadığı, mahremiyet bilincinin yaygınlaştığı günümüzde konaklayanların pek çoğu tarafından da kişisel verilerinin isteği ve bilgisi dahilinde paylaşılmadığı kişi ve birimlerce kullanılmasını istemeyeceği, bu anlamda ilgili kişilere seçim hakkının verilmesi gerektiği, kişisel veri güvenliği hususunda yaşanabilecek riskler de göz önüne alındığında veri minimizasyonu ilkesi doğrultusunda hareket edilmesi gerektiği, bu doğrultuda kat görevlilerinin görevlerinin belirlendiği Housekeeping Task Sheet belgesinde konaklayanların isim ve soy isim bilgilerine yer verilmesi şeklinde gerçekleşen veri işleme faaliyetinin Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği, mezkur belgede ilgili kişilerin isim ve soy isim bilgilerine yer verilmesi uygulamasına son verilmesinin gerektiği,
Housekeeping Task Sheet başlıklı belgenin dolayısıyla ilgili kişiye ait kişisel verilerind üçüncü kişiler tarafından elde edilmesi şikâyeti ile ilgili veri sorumlusunun Kurum’a ilettiği Housekeeping Task Sheet başlıklı belgenin boş nüshası ile ilgili kişinin şikayetine ve paylaşıma konu oluşturduğunu iddia ettiği belgeye ilişkin ekran görüntüleri ile ilgili belge ekran görüntüsünün video kaydı karşılaştırmalarından, nüshaya uygun ibarelere yer verildiğinin anlaşıldığı,
İlgili kişinin Kurum’a ilettiği belgelerden, üçüncü bir kişi ile sosyal medya uygulaması üzerinde yazışmalarda bulunduğu esnada mezkûr belgenin ilgili kişiyle paylaşıldığının ve şahsın veri sorumlusuna göre üçüncü bir şahıs olduğunun anlaşıldığı, belgeyi hangi suretle ele geçirdiğinin şahsa sorulması üzerine otelde çalışandan aldığını söylediği, ayrıca Başsavcılık nezdinde başlatılan soruşturma kapsamında alınan ifadesi kapsamında da otelde çalışan arkadaşı vasıtasıyla elde ettiğini beyan ettiği,
Başsavcılık nezdinde soruşturma başlatıldığı, ancak soruşturmanın konusunun cinsel dokunulmazlığa ve şerefe karşı işlenen eylemler nedeniyle ilgili kişi tarafından sosyal medya kullanıcısı şahsa karşı başlatıldığının anlaşıldığı, her ne kadar veri sorumlusunca Savcılık tarafından yürütülen soruşturmanın belgenin orijinal olup olmadığının tespiti bağlamında belirleyici olacağı beyan edilmişse de belgenin sahteliğinin tespitine yönelik veri sorumlusunca ayrıca bir işlem başlatıldığının tespit edilmediği, ayrıca veri sorumlusunun şahsın kimliği ve varlığı hususunda şüphelerinin bulunduğu iddialarının da ilgili kişi tarafından Kurum’a iletilen yazışma ekran görüntüleri karşısında tevsik edilmeye muhtaç iddialar olduğu, veri sorumlusunun ilgili kişinin kişisel verilerini ihtiva eden Housekeeping Task Sheet başlıklı belgenin sahte olduğu, şahsın kimliği ve varlığı hususunun şüpheli bulunduğu dolayısıyla bünyesinde bir veri ihlali yaşanmadığı hususlarındaki açıklamalarını tevsik edemediği,
Diğer yandan, veri sorumlusunca bünyelerinde mezkûr belgenin imha edildiği beyan edilmişse de belgenin imha edildiğini gösteren herhangi bir kaydın Kurum’a iletilmediği,
Bu doğrultuda, mezkur belgenin tahrifatlar ve ilgili kişi ile üçüncü kişi arasındaki konuşmalardaki çelişkiler nedeniyle veri sorumlusu bünyesi dışında oluşturulduğu iddialarının tevsik edilemediği gözetildiğinde, eldeki mevcut bilgi ve belgeler ışığında söz konusu belgenin hizmet içi hususları düzenlemek amacıyla veri sorumlusu bünyesinde oluşturulan bir belge olduğu, mezkur belgenin veri sorumlusunun bünyesindeki hizmetlerin yürütülmesi amacıyla yalnız personeli ile paylaşıldığı, somut olay kapsamında üçüncü bir kişi tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği,
İlgili kişinin aydınlatma yükümlülüğünün yerine getirilmemesi şikayetine ilişkin veri sorumlusunun otelcilik faaliyetleri yürüttüğü dikkate alındığında konaklayan ilgili kişiler ile veri sorumlusu arasında bir sözleşme kurulduğu bu itibarla veri sorumlularının konaklayan ilgili kişilere ait pek çok kişisel veriyi Kanun’un 5’inci maddesinin 2’nci fıkrasının (c) bendi uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanarak işlediği, web sayfasında sunulan aydınlatma metninde (bu metnin konaklama belgesi ekinde sunulan metinden de farklılık taşıdığı tespit edilmekle birlikte) iletişim bilgilerinin konaklama hizmetleri kapsamındaki rezervasyonların alınması ve takibi, rezervasyon kapsamında gerçekleştirilen işlemlere ilişkin iletişim sağlanması gibi amaçlar doğrultusunda Kanun’un 5’inci maddesinin 2’nci fıkrası kapsamındaki işleme şartlarına dayanılarak işlendiğinin ifade edildiğinin görüldüğü,
Veri sorumlusunun Registraton Card/Konaklama Belgesi üzerinde yer vermiş olduğu “Sorumsuzluk Kaydı”nda konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceğini belirttiği, öte yandan metnin İngilizce ifadelerinin yer aldığı sol kısmında aynı ibarelere yer verilmediğinin anlaşıldığı,
Registraton Card/Konaklama Belgesi düzenlenmesinin; 1774 sayılı Kimlik Bildirme Kanunu’nun 12’nci maddesine dayanılarak çıkarılan Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik’in 23’üncü maddesindeki hüküm gereğince zorunlu olduğu, bu itibarla veri sorumlusunun bahse konu düzenleme nedeniyle hukuki bir yükümlülüğünün bulunduğu, bu itibarla ilgili kişilerin konaklama belgesini doldurmalarının ve imzalamalarının veri sorumlusunun sahip olduğu yasal bir yükümlülükten ileri geldiği ancak aynı belgede sorumsuzluk kaydı başlığı altında “konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceği” düzenlemesinin veri işlemenin bir genel işlem şartı olarak ileri sürüldüğünü gösterdiği,
Konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı,
Bu doğrultuda konaklama belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı

değerlendirmelerinden hareketle;

Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına,
Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
Aydınlatma yükümlülüğünün yerine getirilmemesi şikâyeti doğrultusunda; konaklama belgesi ekinde sunulan aydınlatma metni ile web sayfasında bulunan aydınlatma metinlerinin farklılıklarının giderilmesini teminen gerekli düzenlemeleri yapması, öte yandan konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesinin açık rızanın özgür irade unsurunu sakatlayacağı, bu doğrultuda veri sorumlusunun mezkûr belge üzerindeki Sorumsuzluk Kaydını revize etmesi ve iletişim bilgilerini reklam ve pazarlama amaçlı işleme konusunda aydınlatma metninde belirttiği şekilde Kanun hükümlerine uygun olarak ayrıca açık rıza alma yoluna gitmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesi hususunda talimatlandırılmasına

karar verilmiştir.

07.09.2023: “İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması"

Karar Tarihi	:	07/09/2023
Karar No	:	2023/1548
Konu Özeti	:	Konu Özeti : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması

Kuruma intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin uzun yıllardır veri sorumlusu bünyesinde çalıştığı ve hukuka uygun hiçbir nedene dayanılmadan kod46 ile işten çıkarıldığı, iş mahkemesinde veri sorumlusu aleyhine işçi alacağı davası açıldığı, mahkeme dosyasına veri sorumlusu tarafından sunulan dilekçede; “…Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirmek isteriz.” beyanlarının yer aldığı, ilgili beyanlarla ilgili kişiye ait ses kaydının ilgili kişinin rızası dışında saklandığının ikrar edildiği ve hatta mahkeme tarafından talep edildiği takdirde paylaşma isteğinin belirtildiği, mahkeme talep etmeden rıza dışı alınan ses kaydının şifreli bir halde (flash disk içerisinde) mahkeme dosyasına sunulduğu, ilgili kişiye ait olduğu iddia edilen ses kaydının kendisinin işten çıkarılmasını isteyen kötü niyetli kişiler tarafından rızası dışında alınarak veri sorumlusuna sunulduğu, ses kaydını kişisel verilere erişim yetkisi olmayan bazı işçilerin dinlediği, ses kaydı bahane edilerek ilgili kişinin işten çıkarıldığı, ayrıca olayla hiçbir ilgisi olmayan kardeşinin de işten çıkarıldığı, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önleyemediği, açık rızası alınmadan işlenen ses kaydının imha edilmesi talebi ile veri sorumlusuna başvuruda bulunduğu ancak veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamına uygun hareket ettiğini iddia ettiği, haksız ve hukuka aykırı alındığı açık olan ses kaydının veri sorumlusu bünyesinde denetim yükümlülüğü olmadan muhafaza edildiği ve mahkeme talep dahi etmeden dosyaya delil mahiyetinde sunulduğu ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

İlgili kişinin; veri sorumlusunun ihale etmiş olduğu yüklenici firma nezdinde sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etmek ile görevli bir çalışan olduğu, veri sorumlusu ile yüklenici firma arasında akdedilen teknik şartnamede de görev tanımının yer aldığı,
İş akdinin yüklenici firma tarafından “işçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması" nedeniyle sona erdirildiği,
Yüklenici firma da olsa veri sorumlusu ile yüklenici firma arasında akdedilen hizmet alım sözleşmesi ve ekleri; Çalışma İlkeleri Taahhütnamesi, Teknik Şartname, KVKK Taahhütnamesi, Gizlilik Sözleşmesi ve Kişisel Veri İşleme Sözleşmesi uyarınca yüklenici firmanın; hizmetlerin sağlanmasında geçerli olan Kanun, tüzük, yönetmelik ve kurallara uygun faaliyet göstereceğini, şirket işinde çalışan personelini kişisel verilerin muhafazası ve açıklanmaması için her türlü güvenlik önlemlerini almak, personelini bilgilendirmek, KVKK eğitimi vermek ve bunları sürdürmekle mükellef olacağını taahhüt ettiği, ilgili kişinin iş akdinin de bu nedenle sona ermek zorunda kaldığı,
İlgili kişinin sayaç okuma esnasında bir kullanıcının/müşterinin yapmış olduğu usulsüzlüğü tespit ettiği, usulsüzlüğü iş yerine bildirmek yerine menfaat elde etmek amacıyla durumu kullanmak istediği ve duruma göz yummak kaydıyla rüşvet istediği,
Kullanıcının/müşterinin ilgili fiilin suç teşkil edebileceği endişesi ile salt vatandaş olarak ses kaydını almış olduğu ve aynı amaçlar kapsamında da veri sorumlusuna ilettiği,
Kayıt altına alınan ses kaydının, veri sorumlu şirketin olayın gerçekleştiği yer olan ilçedeki en üst yönetici pozisyonundaki arıza bakım onarım sorumlusuna iletilmesinin ardından durumun suç teşkil edebileceğinin anlaşıldığı ve doğrudan şirket vekili ile durumun paylaşıldığı,
Ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı, yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği ve şifreli disk halinde mahkeme dosyasına sunulduğu, disk şifresinin halihazırda mahkeme ile paylaşılmadığı,
İletilen ses kaydının durum tespiti sonrasında işçinin iş sözleşmesine etki etmesi nedeniyle şirket kayıtlarına alındığı, kaydın işlenmesinin Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmüş olması” , ve (e) bendindeki “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebepleri uyarınca işlendiği,
Öte yandan Kanun kapsamında hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu şirketin meşru menfaatleri için veri işlenmenin zorunlu olması hallerinde ilgili kişinin verilerinin açık rıza olmaksızın işlenebileceği, zira mevcut davada da iş akdinin haklı neden ile feshini ispat için dava zamanaşımı süresi boyunca kişisel verilerin muhafaza edilmesi için açık rızanın gerekmediği,
Anayasanın temel taşlarından olan adil yargılanma ve savunma hakkı ile Hukuk Muhakemeleri Kanunu’nda yer alan hukuki dinlenilme hakkı ve tarafların eşitliği kapsamında, şirketin meşru menfaatinin yanında mahkemeye sunulmuş cevap dilekçesi ile suç şüphesini açıkça ortaya koyarak yargı merciine ihbarda bulunulduğundan ve ayrıca iş mahkemesine sunulan cevap dilekçesinde açıkça savcılığa suç duyurusunda bulunulduğu belirtilmiş olduğundan; TCK kapsamında da delillerin muhafaza edilmesi gerektiği göz önüne alınarak ilgili kişiye ait ses kaydının muhafazası ve işlenmesi bakımından Kanuna aykırılık bulunmadığı,
Türk Ceza Kanunu bakımından suç teşkil edebilecek ve aynı zamanda da işverenin İş Kanunu bakımından da iş akdinin haklı feshine sebep olacak ses kaydına konu davranışı anında, başka türlü delil ile tespit etme imkânı yok iken ses kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçu oluşturmayacağının Yargıtay içtihatları ile de Kurul Kararları ile de benimsendiği,
Nitekim somut olayda Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca; “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi ile hukuka uygun bir veri işleme faaliyetinde bulunulduğu,
Öte yandan Kişisel Verileri Koruma Kurumu tarafından 10.03.2019 tarihinde örnek olarak yayımlanan Kişisel Veri Saklama ve İmha Politikası'na göre saklamayı gerektiren hukuki sebeplerin belirtildiği, bu sebepler arasında İş Kanunu, Türk Borçlar Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemelerin sayıldığı, buna göre İş Kanunu kapsamında saklanan verilerin (Örneğin; kıdem tazminatı, ihbar tazminatı, kötü niyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması, İş Kanunu kapsamında saklanan özlük dosyasına ilişkin veriler, İş Kanunu kapsamında saklanan verilerden performans kayıtları, disiplin cezaları, fesih evrakları vb.) iş ilişkisinin sona ermesinden itibaren 10 yıl ve yasal yollara başvurulmuş ise yasal sürecin sona erip kesinleşmesi tarihinden itibaren de 10 yıl süre ile saklanmasının yasal bir gereklilik olduğu, bu kapsamda işveren yükümlülükleri doğrultusunda yapılacak iş ve işlemlerin yerine getirilmesi ile şirketin meşru menfaatlerinin korunması sebebiyle ilgili kişisel verilerin yasal saklama süresi dolmadan imha edilmemesi gerektiği,
Kişisel Veri Saklama ve İmha Politikasında da belirtildiği üzere ilgili kişilere ilişkin kişisel verilerin veri sorumlusu tarafından hukuki yükümlülüklerin yerine getirilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası, çalışanların yasal haklarının ve meşru menfaatlerinin korunması, iş ve hizmet süreçlerinin yürütülmesi, kişisel verisi işlenen gerçek kişinin yasal haklarının ve meşru menfaatlerinin korunması amacıyla güvenli bir biçimde ilgili mevzuatta belirtilen sınırlar çerçevesinde saklandığı,
İlgili kişinin halihazırdaki şartlar dâhilinde Kanun’un 11’inci maddesinde belirtilen “kişisel verilerin silinmesini veya yok edilmesini isteme” hakkını ileri sürebilmesinin hukuken olanaklı olmadığı,
Kişisel verilerin işlenmesi, muhafaza edilmesi ve imha edilmesi gibi tüm unsurlarda veri sorumlusu tarafından yasal gerekliliklere uygun davranıldığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/09/2023 tarih ve 2023/1548 sayılı Kararı ile;

Veri sorumlusu ile yüklenici firma arasında hizmet alım sözleşmesi akdedildiği ve esas sözleşme ekleri arasında teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdünün yer aldığı,
İş Kanunu’nun 2’nci maddesinin (6) numaralı fıkrasının; “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur.” hükmünü haiz olduğu,
Kanuna uygun olarak kurulan ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esasının benimsendiği, veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi mevcut olduğundan hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden sorumlulukları bulunduğu,
Sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme ile görevli olarak yüklenici firma bünyesinde çalışan ilgili kişinin iş sözleşmesinin İş Kanunu’nun 25’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması” nedeniyle feshedildiği,
Feshin hukuka uygun olup olmamasının yargı merciine intikal eden bir husus olduğu, feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususlarının Kanun kapsamında değerlendirilmesi gerektiği,
İlgili kişiye ait ses kaydının uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında kanı oluşturmaya yarayan bir delil niteliğinde olduğu, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (HMK) 190’ıncı maddesinin; “İspat yükü, kanunda özel bir düzenleme bulunmadıkça, iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa aittir.” hükmünü amir olduğu, İş Kanunu’nun 20’nci maddesinin de paralel bir şekilde “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir” hükmünü içerdiği,
HMK’nun 189’uncu maddesi; “Hukuka aykırı olarak elde edilmiş olan deliller, mahkeme tarafından bir vakıanın ispatında dikkate alınamaz.” hükmünü haiz olduğundan hukuka aykırı olarak elde edilen ses kaydının kural olarak delil mahiyetinde kullanılamayacağı,
Bununla beraber izinsiz ses kaydı alınmasının, belli bazı durumlarda, Türk Ceza Kanunu kapsamında suç teşkil etmeyeceğinin ve hukuka uygun delil mahiyeti taşıyacağının Yargıtay içtihatları ile benimsendiği, Yargıtay Ceza Kurulu’nun 01/12/2020 tarihli ve 2020/485 sayılı Kararında da; “Kişinin kendisine karşı işlenmekte olan bir suçla ilgili olarak, bir daha kanıt elde etme olanağının bulunmadığı ve yetkili makamlara başvurma imkânının olmadığı ani gelişen durumlarda karşı tarafla yaptığı konuşmaları kayda alması halinin hukuka uygun olduğunun kabulü zorunludur. Aksi takdirde kanıtların kaybolması ve bir daha elde edilememesi söz konusudur.” değerlendirmesine yer verildiği,
İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği, bu kapsamda ilgili kişinin iş sözleşmesinin haklı sebeple feshedildiğini ispatlama aracı olarak kullanılan ses kaydının hukuka uygun delil olduğu, nitekim somut olayda ilgili kişinin ses kaydının veri sorumlusu tarafından da alınmadığı ve kullanıcı/müşteri tarafından veri sorumlusu ile paylaşılan ses kaydının delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edildiği,
Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda; ses kaydının herhangi bir personel ile paylaşılmadığının, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığının ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiğinin belirtildiği, 20/06/2022 tarihinde mahkemeye sunulan beyanlar incelendiğinde; “Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirtmek isteriz” dendiği, 24.08.2022 tarihli dilekçesinde de “İş bu ses kaydının KVKK gereği şifreli ortamda saklandığını da belirterek şifreli bir şekilde ekte sayın mahkemenize de sunmaktayız.” diyerek ses kaydının yer aldığı şifreli flash diski dosyaya sunduğu,
Bu itibarla; iş sözleşmesinin feshine haklı gerekçe kılınan ses kaydı delilinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulduğu,
İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise tarafların beyanları doğrultusunda tevsik edilemediği

değerlendirmelerinden hareketle;

İlgili kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı,
Ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemediği hususları dikkate alındığında

veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

03.08.2023: “İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi"

Karar Tarihi	:	03/08/2023
Karar No	:	2023/1321
Konu Özeti	:	İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği, bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

Şirket genel kurul kararı ile ilgili kişinin ortaklıktan ayrıldığı, bu kapsamda ilgili kişinin e-posta adresinin de kapatıldığı, kapanan e-posta adresinin kullanılmasının teknik olarak da mümkün olmadığı,
Söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği, ticari e-posta adreslerinde personel sirkülasyonu (isim değişiklikleri) olduğu için, ön kısmında ne yazdığına bakılmaksızın silinen e-posta adreslerinin sonunda veri sorumlusu Şirket’e ait uzantı olduğu sürece söz konusu e-postaların “tanımsız mail” olarak yönetici e-postasına düştüğü, söz konusu yönlendirmenin mail hizmeti sunan firma tarafından gerçekleştirildiği,
İddiaların aksine, şikayet konusu e-postalarda herhangi bir kişisel verinin yer almadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Kararı ile;

Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin 1’inci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
Veri sorumlusu Şirket’ten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirketin faaliyet alanı ile aynı işi yapmaya başladığı,
Bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
İkinci olarak ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı,
Bu çerçevede her ne kadar veri sorumlusu; bahse konu e-posta adresinin kapanmış olduğunu, kendi şirketi nezdinde kullanılan e-posta adresleri arasında yer almadığını ve bu e-posta adresine gönderilen iletilerin “tanımsız mail” olarak yönetici e-postasına geldiğini ifade etse de, ilgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı

değerlendirmelerinden hareketle;

İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,
Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
Şikayete konu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

03.08.2023: “Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi"

Karar Tarihi	:	03/08/2023
Karar No	:	2023/1310
Konu Özeti	:	Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin bir bankanın (veri sorumlusu) bireysel ve kurumsal müşterisi olduğu, 19.11.2022 tarihinde mobil bankacılık uygulamasını kullanarak unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediği, kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin başvurusu tarihinde kurumsal müşterilerin kredi/banka kartı ile dijital parola oluşturma süreci için sistem entegrasyon çalışmalarının sürmekte olduğu ve ilgili kişi başvurusuna da bu yönde cevap verildiği, 02.12.2022 tarihinde iş akışları tamamlanarak kurumsal müşterilere de biyometrik yüz verisi işlenmeksizin kredi/banka kartı seçeneği ile dijital parola oluşturma imkânı sağlandığı,
İlgili kişinin şikayetine konu dönemde kurumsal hesaplar yönünden, (T.C. Kimlik Kartı seçeneği ve akabinde) yüz verileri işlenmeksizin mobil bankacılık uygulamasından dijital parola oluşturma imkânı mevcut olmamakla birlikte, Bankanın Şube veya telefon bankacılığı kanallarından işlemi gerçekleştirme imkanının mevcut olduğu,
İlgili kişinin şikayetine konu dönemde yüz verilerinin işlenmesine rıza verilmediği durumda, (a) Bireysel müşterilerin Mobil Bankacılık kanalından alternatif olarak sunulan kredi/banka kartı seçeneği, Şubeler veya telefon bankacılığı kanalından işleme devam edebildiği, (b) Kurumsal müşterilerin ise Mobil Bankacılık kanalından devam edemediği, alternatif olarak işlemlerini Şubeler veya telefon bankacılığı kanallarından tamamlayabildiği, alternatif kanallara ilişkin bilgilendirmenin, Bankanın web sitesinde sağlandığı,
Mevcut durumda Bankanın mobil şube dijital parola belirleme işlemlerinde müşterilerine “Kredi ve Banka kartı ile dijital parola üretmek istiyorum” ve “T.C. kimlik kartı ile dijital parola üretmek istiyorum” seçeneklerinin sunulduğu, mobil şube kanalı ile dijital parola üretmek için “T.C. kimlik kartı ile parola üretmek istiyorum” alanı seçildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğini sağlamak adına kimlik doğrulama mekanizmalarından biri olan yüz izlerinin işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmü doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için mevzuat hükümleri çerçevesinde taraflarınca biyometrik verilerinin işlenmesi için müşterilerden açık rıza alındığı, talep edilen açık rızaya ilişkin olarak “Onaylamıyorum” seçeneğinin de müşterilere sunulduğu, ilgili seçenek işaretlendiğinde (hem bireysel hem kurumsal hesaplar yönünden) müşterilerin yüz izleri işlenemeyeceğinden işleme devam edilememekle birlikte alternatif seçenek olarak gerek kredi/banka kartı seçeneği ile gerekse Bankanın Şube/Dialog kanalları ile de dijital parola oluşturma imkanının sunulduğu,
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesi uyarınca müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması yükümlülüğünün bulunduğu, bu doğrultuda talep oluşturulan iki bileşenin; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçildiği, müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesinin esas alındığı, bu yönetmelik kapsamında iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğünün bankaya ait olduğu gözetilerek müşteriye özgü ve taklit edilemeyen biyometrik verinin müşterinin açık rızasının alınması halinde işlendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1310 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak; “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin birinci fıkrasında ise; “özel nitelikli kişisel veriler”in, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlandığı, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) “Tanımlar” başlıklı 4’üncü maddesinde ise “biyometrik veri”nin, yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler olarak tanımlandığı, somut olayda bankanın “Veri Sorumlusu”, dijital parola belirleme işlemlerinde yüz verilerinin işlenmesinin “veri işleme faaliyeti”, yüz verilerinin de biyometrik veri olması dolayısıyla “özel nitelikli kişisel veri” olduğu,
Kanun’un 6’ncı maddesinin ikinci ve üçüncü fıkrasının “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” hükmünü haiz olduğu,
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesinin birinci ve ikinci fıkralarının sırasıyla “(1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır. (2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.” hükümlerini amir olup bu maddenin diğer fıkralarında da bankalarca alınması gereken güvenlik tedbirlerine ilişkin usul ve esaslara yer verildiği,
İlgili kişinin veri sorumlusuna başvuruda bulunduğu dönemde mobil bankacılık uygulamasında kurumsal müşterilerin de bireysel müşteriler gibi dijital parola üretme uygulamasında T.C. kimlik kartı veya kredi/banka kartı ile giriş sağlayabilmeleri hususunda çalışmaların devam ettiği, mobil şube kanalı ile dijital parola üretmek için yalnızca T.C. kimlik kartı kullanımının seçilebildiği ve bu seçenek tercih edildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğinin sağlanması adına kimlik doğrulama mekanizmalarından yüz izlerinin işlenmesinin kullanıldığı, bu nedenle Kanun’un 6’ncı maddesinin ikinci fıkrası doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için, müşterilerden açık rıza beyanı alınmasının zorunlu olduğu, müşterilerin açık rızaya onay vermemesi durumunda ise dijital parola işleminin mobil şube kanalından sağlanamadığı, bu işlemlerin yapılabilmesine yönelik olarak herhangi bir bilgilendirmeye yer verilmeyerek sistemin başa döndüğü, konuya ilişkin olarak yüz verilerinin işlenmesine rızası bulunmayan ve mobil bankacılığın kurumsal müşteriler için dijital parola alma işleminden yararlanamamış olan ilgili kişinin veri sorumlusuna yaptığı başvuruya cevaben Veri Sorumlusunun biyometrik verilerin işlenmeyerek dijital parola edinme isteği halinde Bankanın Şube/Telefon Bankacılığı kanalları ile işlemin gerçekleştirilmesinin mümkün olduğu hususunda kişiyi bilgilendirdiği, veri sorumlusunun internet sitesinde dijital parolanın nasıl alınabileceğine dair bilgilendirmenin bulunduğunu beyan ve tevsik ettiği, 02/12/2022 tarihinden itibaren kurumsal müşteriler için de mobil bankacılıkta kredi/banka kartı seçeneği ile de dijital parola oluşturma imkanının sağlandığı,
Bununla birlikte, Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği,

değerlendirmelerinden hareketle,

Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden Bankanın Şube ve Telefon Bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun Bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşıldığından, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu Bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi hususunda azami özeni göstermesini teminen uyarılmasına

karar verilmiştir.

03.08.2023: “Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması"

Karar Tarihi	:	03/08/2023
Karar No	:	2023/1309
Konu Özeti	:	Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

Kuruma intikal ettirilen şikayette özetle, ilgili kişinin ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, tur firması tarafından şikâyete konu veri sorumlusu havayolu firması ile seyahatinin planlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulamasından Check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin "isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri" gibi bilgilerini gördüğü, tanımadığı 4 kişinin tüm bilgilerinin hem gidiş hem de dönüş check-in işlemlerinde gözüktüğü, bunun yanında tanımadığı kişilerin biletleri hakkında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı, aynı şekilde diğer tanımadığı kişilerin de kendisinin isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri gibi kişisel verilerini görebildiğinin kuvvetle muhtemel olduğu ayrıca havayolu şirketince tutulan kişisel verilerinin tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihtimali hakkında ve kişisel verilerinin ihlali ile ilgili bilgi verilmesini ve mevcut ihlalin kaldırılmasını, gerekli yerlere bildirim yapılmasını ve Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’nci maddesi kapsamındaki hakları doğrultusunda veri sorumlusu olarak söz konusu hadise kapsamında gerekli aksiyonların alınmasının yanı sıra hangi kişisel verilerinin işlendiği, şahsına ait işlenen kişisel verilerinin korunması adına hangi teknik ve idari tedbirlerin alındığını, şahsına ait işlenen kişisel verilerin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığı hakkında bilgi verilmesini, şahsına ait işlenen kişisel verilerinin yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmesini, kişisel verilerine erişim yetkisi olmayan üçüncü kişilere aktarımına ve hukuka aykırı veri işleme faaliyetine son verilmesini talep ettiği başvurusunu gerçekleştirdiği, veri sorumlusu tarafından verilen yanıtta kişisel verilerinin üçüncü kişilere hukuka aykırı olarak aktarıldığının kabul edildiği, verilen cevapta bilgi edinmek adına cevaplanmasını talep ettiği hususlarda da herhangi bir cevap verilmediği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;

İlgili kişinin kişisel verilerinin üçüncü kişilere aktarıldığı yönündeki iddialara ilişkin olarak; Şirketlerinin yurt içinde ve yurt dışında hava taşımacılığı hizmeti veren bir havayolu şirketi olduğu, uçuşları için tüketicilerin doğrudan veya seyahat acenteleri aracılığıyla bilet alabileceği gibi Şirketlerinin tur operatörü olarak faaliyet gösteren ve tüketicilere paket tur satışı yapan seyahat acentelerine belirli hacimde koltuk kullanımını anlaşmalar doğrultusunda tahsis ettiği, bu durumda acentelerin kendi müşterilerinin paket tur seyahati kapsamında uçuşları için rezervasyon işlemlerini havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden kendilerinin gerçekleştirdiği, şikayete konu uçuş rezervasyonun da bu şekilde gerçekleştiği, Şirketleri ile ticari iş ilişkisi olan tur operatörü olarak faaliyet gösteren seyahat acenteleri, ulaştırma, konaklama ve bunlara yardımcı olmayan diğer turistik hizmetlerin en az ikisinin birlikte, her şeyin dahil olduğu paket tur satışlarında, ulaştırma hizmeti için kendilerine tanınan sistem erişim kullanıcı bilgileri ve şifreler ile, havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden uygulamaya giriş yaparak uçuşlar için biletleme yapabilmekte ve dolayısıyla PNR oluşturabilmekte olduğu, oluşturulan PNR'lar Şirketlerinin uçuşlarına ait olduğundan yolculara check-in ve uçuşa ilişkin ek ürün/hizmet ihtiyaçlarına cevap vermek adına PNR ve soyadı kombinasyonu ile uçuşlarını kendi dijital kanalları üzerinden yönetme imkanı tanıdıkları,
Seyahat acentelerinin, aynı paket turda yer alan tüm yolcuların rezervasyon ve biletleme işlemlerini toplu olarak yaptığı, bu nedenle rezervasyon kayıtlarının tek bir PNR üzerinden birçok yolcu için seyahat acenteleri tarafından yapıldığı, seyahat acentesinin böylece grup rezervasyonu kapsamında tek bir Grup PNR üzerinden tüm müşterilerinin takibini yapabildiği, Şirketlerinin, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uyguladığı, bu tedbirlerin şikayete konu vaka öncesinde uygulamaya alındığı ve düzenli olarak uygulandığı, bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde, PNR + SOYADI kombinasyonu ile giriş yaptığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde SOYADI eşleşen kayıtları görüntüleyebilmekte olduğu, ortak görüntülemenin birlikte seyahat eden ailelerin işlemlerini bir arada yapabilmeleri amacını taşıdığı, nitekim, paket tur satın alan yolcuların genellikle aile olarak seyahat ettiği ve aynı soyada sahip aile bireylerinin check-in deneyimlerinin kolaylaştırılması ve özellikle uçuş için aile bireylerine yan yana koltuk tanınması konusunda yolculardan gelen talepler doğrultusunda bu yönde bir uygulamanın olduğu, bu geliştirmenin, Şirketlerinin kişisel verilerin korunması konusundaki uyum çalışmaları kapsamında şikayet tarihinden önce öngörülmüş bir tedbir olduğu, bu tedbirin öncelikli amacının, grup rezervasyonlarında, birlikte seyahat etme amacı olmayan, birbirini tanımayan yolcuların birbirlerinin kişisel verilerine ulaşımını engellemek olduğu,
Şikayete konu olay hakkında işlemi gerçekleştiren seyahat acentesi ile yapmış oldukları görüşmelerde, başvuru sahibinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de başvuru sahibi ile aynı olduğu ve fakat bu kişilerin başvuru sahibinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin başvuru sahibi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğunun açık olduğu, Şirketlerinin, sistem üzerinden veri gizliliğini korumaya yönelik gerekli tedbirleri aldığı ve uyguladığı, sistemde kaydı oluşturan seyahat acentesinin aynı soyadlı farklı kişileri tek bir Grup PNR'ında birleştirmemesi yükümlülüğü bulunduğu,
Ayrıca, Şirketleri tarafından şikayetten önce alınmış olan teknik tedbir ötesinde, aynı soyadına sahip bu yolcuların aile bireyi olmadığı ve birlikte seyahat etmeyecekleri konusundaki bilgiye Şirketlerinin haiz olmasının mümkün olmadığı, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, bu anlamda, gerekli tedbirleri şikayet tarihinden önce almış olan Şirketlerine herhangi bir kusur atfedilmesinin mümkün olmadığı, şikayet konusundakine benzer şekilde meydana gelebilecek istisnai durumların önüne geçilebilmesi için, ilgili seyahat acentelerine söz konusu tedbirin amacı ve dikkatli olunması gerektiğinin tekrar hatırlatıldığı,
İlgili kişinin başvurusunu takiben ve Kanun'un 12’nci maddesi uyarınca Şirketleri tarafından alınan teknik ve idari tedbirlere ilişkin olarak; ilgili kişinin şikayetine ilişkin tedbirlerin etkin bir şekilde şikayete konu olay öncesinden itibaren uygulandığı, söz konusu durumun önüne geçilmesi için, şikayet tarihinden önce, zaten yolcuların PNR ve soyadı kombinasyonu ile check-in işlemi yaptıklarında yalnızca kendi soyadlarına sahip yolcuların bilgilerine ulaşabildiği bir sistem uygulandığı ve bu sistem aracılığıyla yolcuların kişisel verilerini korumayı amaçladıkları, seyahat acentelerinin yalnızca kendilerinin sahip olabileceği bilgilerle haberdar olacağı şikayete konu istisnai durumların yaşandığı hallerde de seyahat acentelerinin gerekli önlemleri almasının beklendiği konusunda seyahat acentelerinin uyarıldığı,
Şikayeti takiben ilgili kişi ve PNR'da yer alan aynı soy isme sahip diğer kişilerin grup PNR'ının ayrıştırıldığı ve erişimin engellendiği, başvuru sahibinin PNR içerisinde yalnızca kendi aile bireylerini görebileceği şekilde PNR içeriğinin güncellendiği, seyahat acentelerine başvuru sahibinin talebine cevap verilen e-posta iletisinin gönderilerek, paket tur satın alan misafirlerinden aynı soyadına sahip ve fakat aynı aile bireyi olmayan yolcuların PNR'larının ayrıştırılması gerektiği yönünde hatırlatma yapıldığı,
Kanun’un 12’nci maddesi uyarınca veri sorumlusu olarak Şirketlerinin kişisel verilerin (i) hukuka aykırı olarak işlenmesini önlemek, (ii) muhafazasını sağlamak ve (iii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığı, bu kapsamda Şirketlerinin aldığı tüm teknik ve idari tedbirlerin Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden kamu ile paylaşıldığı, Şirket tarafından düzenli şekilde takibi yapılan "Kişisel Verilerin Korunması Kanunu'na Uyum Çalışmaları Kapsamında Alınan Teknik ve İdari Tedbirler" isimli dokümanın da ekte sunulduğu,
Başvuru sahibinin Kanun’un 11’nci maddesi uyarınca iletmiş olduğu talebe vermiş oldukları cevapları hakkında; ilgili kişinin, Şirketlerine kayıtlı elektronik posta yoluyla talebini ilettiği, tüm taleplerine ilişkin olarak yasal sürede cevap verilmesine rağmen, ilgili kişinin hangi kişisel verilerin işlendiği; işlenen kişisel verilerin korunması için hangi teknik ve idari tedbirlerin alındığı; işlenme amacı ve amacına uygun kullanılıp kullanılmayacağı ve yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmediğini iddia ettiği, bu kapsamda, Şirketleri tarafından ilgili kişiye verilen, yukarıdaki tüm talepleri kapsayan cevaplarının ekte sunulduğu, bu kapsamda ilgili kişiye, yasal süre içerisinde, eksiksiz şekilde cevap verildiği ve taleplerinin karşılandığı, yazı ekinde iletilen ekteki Gizlilik Politikası kapsamında, kişisel verilerin korunmasına yönelik olarak yolculara karşı aydınlatma yükümlülüğünün yerine getirilmekte olduğu ve yolcuların hangi kişisel verilerinin, hangi hukuki dayanağa istinaden, hangi amaçlarla işlendiği, kişisel verilerinin kimlerle paylaşıldığı, hangi teknik ve idari tedbirlerin alındığı konusunda bilgilendirildiği, VERBİS kaydında da söz konusu hususların açıklandığı,

ifade edilmiş, Kişisel Verilerin Korunması Kanunu'na uyum çalışmaları kapsamında alınan teknik ve idari tedbirler kapsamında ise detaylı bilgilere yer verilmiş, ayrıca yolculara sunulan gizlilik politikası metni iletilmiştir.

İlgili kişinin şikâyeti ekinde Kuruma sunulan ekran görüntülerinde üçüncü kişilere ait kayıtların karartılmış olması nedeniyle PNR verilerini kullanarak ulaşmış olduğu üçüncü kişilerin bilgilerinin karartılmamış hali talep edilmiş olup ilgili kişi tarafından söz konusu bilgiler Kuruma sunulduğunda, veri sorumlusunun beyanın aksine, kişisel verilerine erişilen üçüncü kişilerin soyadı bilgisinin ilgili kişiden farklı olduğu görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 03/08/2023 tarih ve 2023/1309 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin işlenme şartlarına ilişkin 5’inci maddesinin birinci fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, ikinci fıkrasında ise: “Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükümlerine yer verildiği,
Kanunun 11’inci maddesinde ilgili kişilerin hakları sıralanmış olup, anılan maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükümlerine yer verildiği,
Kanunun 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” (5) numaralı fıkrası ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amir olduğu,
Bu çerçevede, Uluslararası Sivil Havacılık Organizasyonu tarafından yayınlanan PNR Verisi Rehberi’nde (The International Civil Aviation Organization, “Guidelines on Passenger Name Record (PNR) Data” ) hava taşımacılığı sektöründe Yolcu Adı Kaydının, “herhangi bir yolcu adına veya yapılan her yolculuk için uçak operatörleri veya yetkili acenteleri tarafından oluşturulan kayıtlara verilen genel ad” olarak tanımlandığı, PNR’ın bir yolculuğun tüm uçuş bölümleriyle ilgili olarak yolcu tarafından veya yolcu adına sağlanan verilerden oluşturulduğu, öte yandan rehbere göre verilerin, operatörler tarafından hava taşımacılığı hizmetlerinin sağlanmasında kendi ticari ve operasyonel amaçları için kullanılmakta ve PNR bilgilerinin uçuş operasyonuna bağlı olarak (uçuşun gerçekleştiği ülkenin talepleri doğrultusunda) pek çok farklı veriyi içerebilmekte olduğu, buna ek olarak “paylaşılmış/bölünmüş PNR”ın ise rehberde PNR üzerinde çok sayıda yolcu, diğer yolcular olması olarak tanımlandığı (https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_en.pdf),
2920 sayılı Türk Sivil Havacılık Kanunu’nun “Milli Sivil Havacılık Güvenlik Kurulu ve Havacılık Güvenliği” başlıklı 40’ncı maddesinin beşinci fıkrasında “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir...” hükmünün yer aldığı,
Bu çerçevede, ilgili kişinin şikâyeti kapsamında veri sorumlusu tarafından verilen yanıtta, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uygulandığı; bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapmakta, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtları görüntüleyebilmekte olduğu, ilgili kişinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de ilgili kişi ile aynı olduğu ve fakat bu kişilerin ilgili kişinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğuna ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu , dolayısıyla veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiğinin anlaşıldığı, bu durumun veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığını gösterdiği,
Ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapılmadığı,
Öte yandan, veri sorumlusunun ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; her ne kadar söz konusu uygulama dahilinde ilgili kişilerden ya da üçüncü kişilerden temin edilen bilgilerin, satılan bilet karşılığında oluşturulan rezervasyon kapsamında Kanunun 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartına dayalı olarak işlendiği ve ortak PNR verilmesinin de birlikte rezervasyon yapan aile bireylerinin seyahatini kolaylaştırmak amacı güttüğü bu durumun da 2920 sayılı Türk Sivil Havacılık Kanununun 40’ncı maddesi kapsamında değerlendirilebileceği anlaşılmakla birlikte, PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği

değerlendirmelerinden hareketle;

İlgili kişiye ait kişisel verilerin üçüncü kişilerle hukuka aykırı olarak paylaşılması ve verilerinin korunması için gerekli teknik ve idari tedbirlerin alınmamasına ilişkin şikâyeti kapsamında; veri sorumlusunun Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapıldığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtların görüntülenebildiğine ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısı ile veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu, ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
Öte yandan, veri sorumlusunun, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği anlaşıldığından, veri sorumlusunun söz konusu uygulamaya ilişkin ilave teknik tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına,
İlgili kişinin, veri sorumlusuna başvurusunda bilgi edinmek adına cevaplanmasını talep ettiği hususlarda veri sorumlusu tarafından herhangi bir cevap verilmemesine ilişkin iddiası kapsamında, ilgili kişinin veri sorumlusuna yöneltmiş olduğu kişisel verilerin korunması amacıyla alınan teknik ve idari tedbirlerin neler olduğu, verilerin işleme amaçlarının neler olduğu, verilerinin yurt içinde ve yurt dışında aktarıldığı üçüncü kişilerin kimler olduğuna ilişkin sorularına veri sorumlusu tarafından verilen cevapta yeterli olarak yanıt verilmiş olduğu anlaşıldığından söz konusu şikayete ilişkin yapılacak işlem bulunmadığına

karar verilmiştir.

07.09.2023: “İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması"

Karar Tarihi	:	07/09/2023
Karar No	:	2023/1563
Konu Özeti	:	İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması

Kuruma intikal eden şikâyette özetle; ilgili kişinin Borsa İstanbul'da satılamaz durumda olan hisselerinin bulunduğu, bu hisselerin satılabilir hale getirilmesi için aracı kuruma başvuru yaptığı, başvurunun da Merkezi Kayıt Kuruluşu AŞ’ye (MKK-veri sorumlusu) iletildiği, bu çerçevede MKK’nin kendisinin ad ve soyadı bilgisi ile birlikte hangi hissesinden kaç lot satılabilir hale getirildiği hususunu Kamuyu Aydınlatma Platformuna (KAP) ait www.kap.gov.tr sitesi üzerinden duyurduğu ve bu işlemin ilgili tebliğe dayandığı, kendisinin ad-soyadı bilgisinin ilandan çıkarılması için MKK’ye başvurduğu ancak bu talebinin kabul edilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Şikâyet ekinde ibraz edilen ilgili kişinin başvurusuna MKK tarafından verilen cevapta ise; payların borsada işlem gören niteliğe dönüştürülmesi işleminin Pay Tebliği’nin 15’inci maddesinin 3’üncü fıkrasında yer alan “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” düzenlemesine dayanılarak gerçekleştirildiği ifade edilmiştir.

Konunun Kişisel Verileri Koruma Kurulu (Kurul) tarafından değerlendirilmesi neticesinde Kurulun 07/09/2023 tarihli ve 2023/1563 sayılı Kararı ile;

İlgili kişinin, Borsa İstanbul’da yer alan hisselerinin satılabilir hale getirilmesi kapsamında “www.kap.gov.tr”sitesinde yayımlanması aşamasında ad ve soyadı bilgilerinin paylaşılmasına itiraz ettiği ve bu çerçevede işlemden sorumlu olan MKK’ya başvurduğu, MKK’nın ise söz konusu işlemi Pay Tebliği (VII-128.1)’nin 15’inci maddesinin üçüncü fıkrasına dayanarak gerçekleştirdiğini belirttiği ve ilgili fıkrada “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” ifadesinin yer aldığı görülmüş olup, sonuç itibariyle bahse konu kişisel veri işleme faaliyetinin Pay Tebliği uyarınca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği, bu anlamda veri sorumlusu tarafından yeterli açıklamalarda bulunulduğundan hareketle ilgili kişinin veri sorumlusu Merkezi Kayıt Kuruluşu AŞ hakkındaki şikâyetine ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

20.07.2023: “Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi"

Karar Tarihi	:	20/07/2023
Karar No	:	2023/1234
Konu Özeti	:	Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

Kuruma intikal eden şikayette özetle;

Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir süre için araç kiralandığı, kiralama hizmetini almak için aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı,
İlgili kişi aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği,
İlgili kişiye Findeks raporunun iletilmesi gerektiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı, Findeks raporunun ve açık rıza beyanının verilmemiş olması sebebi ile hizmetin ifasının araç kiralama şirketi tarafından gerçekleştirilmediği, aynı gün ilgili kişiye “firmamızın prosedürlerini kabul etmediğinizden rezervasyonunuz iptal edilmiştir.” şeklinde bildirim yapıldığı

bildirilerek, araç kiralama şirketi bünyesinde tutulan ve işlenen tüm kişisel verilerin imha edilmesi ve imha işlemine dair kaydın verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise imha işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, araç kiralama şirketi sistemlerinde ve/veya kayıtlarda ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu araç kiralama şirketinden savunması talep edilmiş olup cevabî yazıda özetle;

İlgili kişi tarafından belirtilen, Findeks sorgusu yapıldığı ve bu sebeple araç tesliminin yapılmayarak rezervasyonun iptal edildiği iddialarının gerçeği yansıtmadığı, araç kiralama şirketi tarafından VERBİS kaydının usulüne uygun şekilde yapıldığı ve kayıt altına alınan kişisel veriler ile alınma sebeplerinin detaylı şekilde belirtildiği, Şirket tarafından Findeks sorgusu yapılmadığı,
İlgili kişinin verilerinin aracı Platform tarafından işlendiği, dolayısıyla şikâyet ve taleplerinin de Platform’a iletilmesi gerektiği, araç kiralama şirketinin sadece aracın teslimi esnasında müşteri ile muhatap olduğu, rezervasyonu yapıp müşterinin verilerini işleyenin Platform olduğu, Platform ile araç kiralama şirketi arasında gizlilik sözleşmesi mevcut olduğu ve veri aktarımı için gerekli teknik önlemlerin alındığı,
Araç kiralama şirketi tarafından Findeks sorgusu yapılmasının söz konusu olmadığı, ilgili kişiden talep edilenin, Findeks raporu talep edildiği iddiasının aksine depozito ödemesi olduğu, bu hususun da Platform tarafından bilinmekte ve müşterilerine iletilmesi gerekmekte olduğu, araç tesliminde yaşanan sıkıntının ilgili kişinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu, kendisi bu ödemeyi yapmayı kabul etmediği için araç kiralama şirketi prosedürlerini kabul etmemesi nedeniyle rezervasyonun iptal edildiği bilgisinin iletildiği, burada sorumluluğun tamamen Platform’a ait olduğu, Findeks raporundaki kişisel verilerin işlenmesi ile ilgili açık rıza vermeye zorlanması iddiasının gerçeği yansıtmadığı, ilgili kişinin talebi üzerine araç kiralama şirketi sistemine kayıtlı tüm kişisel verilerin imha edildiği, müşterilerin kişisel verilerinin yurt içi veya yurt dışına aktarılmadığı

hususları belirtilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ayrıca aracı Platform’dan savunması talep edilmiş alınan cevabî yazıda özetle;

Tüm hakları kendisine ait olan internet sitesi ve aynı isimli mobil uygulaması üzerinden, kullanıcılara çevrimiçi otobüs, uçak, feribot bileti, kiralık araç ve konaklayacak yer arama portali hizmetleri sunulduğu; otobüs, feribot ve uçak firmalarının seyahat biletlerinin kullanıcılara yönelik olarak satışa sunulması amacıyla Platform üzerinden ilgili taşıyıcı firmaların biletlerinin satın alınmasına olanak sunulduğu; Platform tarafından aracı hizmet sağlayıcı olarak sunulan diğer hizmetlerin ise kullanıcıların Platform üzerinden ödeme yapmak suretiyle konaklama rezervasyonu ve yine kullanıcılara hizmet sağlayıcı konumundaki çeşitli araç kiralama firmaları tarafından sunulan araç kiralama hizmetlerine ilişkin rezervasyon yapma imkanının sunulması olduğu, sağlanan araç kiralama ve konaklama rezervasyonu hizmetlerinin “aracı hizmet sağlayıcı” sıfatıyla verildiği,
Platform’un “başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamı” sağlayan bir ticaret şirketi olmakla Platform üzerinden ticaret mevkiine sunulan hizmetleri bizzat vermediği ve yalnızca söz konusu hizmetlerin satışına aracılık ettiği, bu kapsamda Platform’un gerek kullanıcılarla gerekse hizmet sağlayıcılarla olan sözleşme ilişkisinin kullanıcıların Platform üzerinden hizmet sağlayıcıların hizmetlerinin satışa sunulması ve hizmetlerin satın alınması halinde söz konusu satışın ilgili hizmet sağlayıcıya bildirilmesini kapsadığı,
Bu çerçevede, aracı hizmet sağlayıcı sıfatını haiz Platform’un hizmet sağlayıcı tarafından sunulan içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı hususlardan sorumlu olmadığı, bu hususun Yargıtay kararları ile de sabit olduğu, Yargıtay 3. Hukuk Dairesi 15.11.2021 tarih, 2021/4000 E. ve 2021/11403 K. sayılı Kararında; “Somut olayda, yukarıda açıklanan mevzuat hükümleri birlikte değerlendirildiğinde internet ağı üzerinden elektronik ticarete imkan sağlayan davacı şirketin aracı hizmet sağlayıcısı konumunda olduğu ve taraflar arasında mesafeli satış sözleşmesi ön bilgilendirme formuna göre satıcı tarafın “...” olduğu, bu durumda davacı aracı hizmet sağlayıcının hizmet sunduğu elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içeriği kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü olmadığı anlaşılmaktadır. Hal böyle olunca, mahkemece; 6563 sayılı Kanun’un 9. Maddesi ve yine Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 6. Maddesine göre aracı hizmet sağlayıcı olan davacının malın ayıplı olmasından kaynaklı sorumluluğunun bulunmadığı gözetilerek davanın kabulüne dair hüküm kurulması gerekirken, yanılgılı değerlendirme ile davanın reddine, karar verilmiş olması doğru görülmediğinden, Adalet Bakanlığının bu yöne ilişen kanun yararına temyiz talebinin kabulü gerekir.” ifadelerine yer verilmek suretiyle hizmet sağlayıcı tarafından sunulan hizmet ve/veya ürün nedeniyle meydana gelen hukuka aykırı durumdan, aracı hizmet sağlayıcının sorumlu olmadığını ortaya koymuş olduğu,
Platform tarafından, 26.08.2022 tarihinde Platform üzerinden araç kiralama hizmetleri bakımından araç kiralama şirketi ile çalışılmaya başlandığı, araç kiralama şirketi ile Platform’un, verilecek hizmete ilişkin yapılan görüşmeler kapsamında hizmetin sunulmasına ilişkin şartlar hususunda karşılıklı olarak mutabık kaldığı ve taraflar arasında ticari güven ilişkisine dayanan bir sözleşme ilişkisi kurularak araç kiralama şirketinin Platform’a dahil edildiği,
Platform’un yalnızca ve sadece araç kiralama şirketi tarafından kendisine Uygulama Programlama Arabirimi (“API – Application Programming Interface”) üzerinden kod ile çevrimiçi olarak bildirilen tarih, araç, araç uygunluğu gibi bilgileri Platform üzerinden bu hizmeti arayan kullanıcılara adeta bir arama motoru gibi hizmet vererek sunmakta, kullanıcılar tarafından araç kiralama şirketince verilen araç kiralama hizmetinin tercih edilmesi halinde talebin Platform üzerinden alınmakta ve yine araç kiralamaya ilişkin ücretin Platform üzerinden tahsil edilerek araç kiralama şirketine gönderilmekte olduğu, taraflar arasındaki anlaşma doğrultusunda araç kiralamaya ilişkin ücretin tamamının araç kiralama şirketine iletilmekte, yapılan mutabakata uygun olarak Platform tarafından araç kiralama şirketine tarafların mutabık kaldığı komisyon oranına uygun şekilde komisyon faturası kesilmekte ve ilgili komisyon bedelinin araç kiralama şirketi tarafından Platform’a ayrıca ödenmekte olduğu

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Kararı ile;

Platform (işlem yapılan internet sitesi ya da mobil hizmet) üzerinden kullanıcıların araç kiralama başvurularının veya rezervasyon taleplerinin alındığı, araç kiralama şirketleri tarafından belirlenen ücretlerin ise kullanıcılardan tahsil edilmekte, bu noktada Platform’un araç kiralama hizmeti vermemekte yalnızca rezervasyon taleplerini almakta olduğu, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun Platform hizmetleri bakımından (bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme, otel listeleme, otel rezervasyonu yapma ve benzeri hizmetler) olacağı, araç kiralama hizmetleri ile ilgili kişisel verilerin işleme amaçlarının ve vasıtalarının belirlenmesi durumu söz konusu olmadığından bu hizmetler bakımından Platform’un veri sorumlusu sıfatını haiz olmadığı, bu sebeple somut olaya ilişkin inceleme kapsamında Platform’un veri sorumlusu olarak ele alınmadığı,
1174 sayılı Kimlik Bildirme Kanunu’nun Ek Madde 3 başlıklı maddesinin birinci fıkrasının “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir.” hükmünü haiz olduğu, bu kapsamda araç kiralama şirketlerinin, kiralamayı talep eden ilgili kişilerin başta kimlik bilgileri olmak üzere kişisel verilerini işlemekte olduğu, bu işlemlerin Platform üzerinden yapan araç kiralama şirketlerinin Kanunun 3’üncü maddesinin (ı) bendinde belirtilen “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu,
Şikâyete konu edilen somut olay kapsamında; ilgili kişinin Platform’un resmi internet sitesi üzerinden veri sorumlusu olan araç kiralama şirketinden 7 günlük bir süre için araç kiraladığı, söz konusu kiralama hizmetini almak için aynı gün ilgili kişi adına kayıtlı kredi kartından ödeme yapıldığı, ilgili kişi veri sorumlusunun acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, Kuruma sunulan belgelerden de anlaşıldığı üzere (ilgili kişi tarafından sunulan SMS görüntüsü) Findeks raporuna erişilmek istendiğine ilişkin SMS’in ilgili kişinin cep telefonuna iletildiği, akabinde ilgili kişinin rezervasyonun iptal edildiği ve kendisine buna ilişkin bildirim yapıldığı, bununla birlikte aynı gün ilgili kişi tarafından gönderilen e-postada yer alan Kanunun 11’inci maddesi kapsamındaki taleplerin yerine getirilmediği, bununla ilgili Kuruma da herhangi bir bildirimde bulunulmadığı,
Kanun’da açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmasına binaen açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerekmekte olup açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
Her ne kadar veri sorumlusu tarafından “Findeks sorgusu yapılmasının söz konusu olmadığı, müşteriden talep edilenin kendisinin iddiasının aksine depozito ödemesi olduğu, araç tesliminde yaşanan sıkıntının müşterinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu” ifade edilmiş olsa da veri sorumlusunun internet sitesinde yer alan “Kiralama Koşulları” sekmesinde “Findekse dayalı Karar Destek Skoru Sorgulaması” başlığı altında; 24. “Gerekli durumlarda, firmamızdan ilk kez araç kiralayacak müşterilerimiz için geçerli olacak şekilde kiralama esnasında Findekse dayalı Karar Destek Skoru sorgulaması ve provizyon işlemi yapılabilir. Araç sınıfına göre provizyon tutarına web sitemizden ulaşabilirsiniz. Provizyon iade süresi, aracın teslim alındığı andan itibaren 24 gündür. Firmamızdan ilk defa araç kiralama talebi ya da rezervasyonu bulunan yurt içi müşterilerimize Karar Destek Skoru adını verdiğimiz bir algoritma ile oluşan skor üzerinden kiralama işlemi yapılıp yapılmayacağına karar verilmektedir. Bu sistem müşterilerimizin; - Findeks Puanını - Yakın Tarihli kredi kartı ve/veya kredi başvurularını - Ödeme Performansını - Limit- Borç oranını - İkamet Adresini (Mahalle) ve bu adresin sosyo-ekonomik yapısını göz önünde tutan bir algoritma ile çalışmaktadır. Karar Destek Skoru findeks puanından farklıdır ve yukarıdaki maddeler sebebiyle, bazı müşterilerde findeks puanına göre aşağıda ya da yukarıda yer alabilir. Findekse dayalı Karar Destek Skoru verilerinizin uygun olması ve yaş kriterini karşılıyor olmanız, araç kiralama işleminin kesinlikle yapılacağı anlamı taşımaz. Araç kiralama işleminin yapılıp yapılmayacağı konusundaki son karar her durumda firmamıza aittir.” ifadelerinin yer aldığı,
Kanunun 4’üncü maddesinde yer alan Genel İlkelerden “hukuka ve dürüstlük kuralına uygun olma” ilkesinin, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade ettiği, dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusunun, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alması gerektiği, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerektiği, ilke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiği,
Kişisel verilerin korunması açısından ise dürüstlük kuralının, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirdiği, veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almalarının dürüstlük kuralının gereği olduğu,
Şikâyete konu olayda ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerin yerine getirilmediği,
İlgili kişinin, tutulan ve işlenen tüm kişisel verilerinin imha edilmesi ve imha işlemine dair kaydın kendisine verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise silme işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, veri sorumlusunun sistemlerinde ve/veya kayıtlarında ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi taleplerinin bulunduğu ancak veri sorumlusunca Kanunun 11’inci maddesi kapsamında ilgili kişinin başvurularına verilen cevapta ilgili kişiye yeterli ve açıklayıcı, taleplerini karşılar nitelikte bir yanıt verilmediği

değerlendirmelerinden hareketle;

Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun Kanun’un 13’üncü maddesi kapsamında kendisine yapılan başvuruya eksik cevap vermesinin Tebliğ’in 6’ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden; ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına,
İlgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması ile birlikte, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında imha edilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

14.09.2023: “İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması"

Karar Tarihi	:	14/09/2023
Karar No	:	2023/1578
Konu Özeti	:	İlgili kişinin hasta dosyasında yer alan özel nitelikli kişisel verilerinin Mahkemeye aktarılması

Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin bir üniversiteye bağlı tıp merkezinde tedavi hizmeti aldığı, tedavi hizmeti kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında tıp merkezinde mesul müdür olarak görev yapan hekim tarafından herkesin görebileceği ve öğrenebileceği şekilde, hiçbir önlem almaksızın mahkemeye gönderildiği, özel hayatına ilişkin mahrem bilgileri içeren belgelerin hiçbir gizlidir ibaresi olmadan ve talep edilenden çok daha fazla ve açık şekilde kişisel veriyi içerir vaziyette mahkemeye gönderilmesi akabinde söz konusu özel nitelikli kişisel verilerin mahkeme tarafından taranarak UYAP’a kaydedildiği, bu bilgilerin, hastane çalışanları, mahkeme kalemi çalışanları, karşı taraf ve vekili dahil herkesçe okunduğu ve öğrenildiği, mahkeme müzekkeresi cevaplanırken sadece hastanın hangi tarihler arasında tedavi olduğu, tedavinin nedeni, süresi, şekli (yatış/ayakta tedavi) sonucu konusunda bilgi vermesi yeterliyken bizzat seansta tutulan notları paylaşmasının açıkça hayatın olağan akışına aykırı olduğu, ilgili kişinin bu nedenle gerek özel hayatında gerekse iş hayatında özel hayatının afişe olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında Tıp Merkezi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezinin bağlı olduğu Üniversiteden savunması istenilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

İlgili kişinin almış olduğu tedavi hizmeti kapsamında kimlik, iletişim, müşteri işlem, sağlık, hukuki işlem ve fiziksel mekân güvenliği bilgilerinin işlendiği,
Kanun’un 6’ncı maddesi ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile İlgili Kişisel Verileri Koruma Kurulunun (Kurul) 31/01/2018 tarihli ve 2018/10 sayılı Kararı kapsamında; çalışanlar için Kanun ve ikincil mevzuat konusunda düzenli eğitimler verilmesi, gizlilik sözleşmeleri yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, hastaya ait kişisel verilerin, elektronik (HBYS: Hasta Bilgi Yönetim Sistemi) ve fiziki (hasta dosyası) ortamlarda işlenmesi, erişimin münhasıran hastaya özel tanımlanmış protokol numarasına göre gerçekleştirilmesi, elektronik ortamdaki erişimlerin, yetki-göreve dayalı modüllere göre ayrıştırılması, Doktor Modülü, Muhasebe Modülü, Randevu Modülü vb. olarak kategorize edilmesi, personelin işe girişte konu hakkında eğitim alması, “Kişisel Verilerin İşlenmesi Kapsamında Muvafakatname-Taahhütname” imzalamasını müteakip; şifreli erişim üzerinden görev modülüne göre yetki tanımlaması yapılması, bu yetkinin personelin unvanının gerektirdiği görev süresince devam etmesi, yetkilerin ise, standart ve standart dışı yetki olmak üzere ikiye ayrılması, standart dışı yetkide modül dışındaki genel nitelikli kişisel verilere erişim için birim yöneticisi, özel nitelikli kişisel verilere erişim için ise üst direktör onayı alınması ve erişim gerçekleşmesi; doktorların, kanunen sır saklama yükümlülüğü altında bulunan kişiler olması nedeniyle hastaların kimlik ve sağlık verilerinin doktorlara doğrudan açık olması ancak tıbbi veriler özel nitelikli veri olduğundan, sistem üzerinde hekim unvanı dışındaki diğer personellere kapalı olması, dolayısıyla hekimlerin kimlik ve sağlık verileri dışında (müşteri işlem ve iletişim bilgileri gibi) herhangi bir veriye erişebilmesinin mümkün olmaması, hekimler için de kendi içinde yetki kapsamının kademeli olması, buna göre hekimler bakımından elektronik sistem içerisinde "Hekim Özel" olarak textboxın mevcut olması, bu alana ilgili hekim tarafından gizlilik derecesi daha yüksek olarak değerlendirilen sağlık verilerinin işlenmesi, bu alanın tıp merkezinde istihdam olunan diğer hekimlerin de erişimine kapalı olması ve dolayısıyla sadece ilgili hastanın ilgili hekiminin erişebilmesi, fiziki dosyanın arşiv biriminde muhafaza edilmesi, arşiv görevlisinin iki kişiden oluşması, arşiv görevlileri dışında hiçbir personelin arşiv birimine giriş yetkisi bulunmaması ve sesli alarm sisteminin mevcut olması, yetki-görev kısıtları için özel olarak Bilgi Güvenliği Farkındalık Eğitimi verilmesi, arşiv personeline kişisel veriler konusunda ayrıca eğitimler verilmesi, eğitim tutanakları ve gizlilik taahhütnamelerinin özlük dosyasında saklanması, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması tedbirlerinin alındığı,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar için verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması tedbirlerinin alındığı,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığı, merkezde 7/24 güvenlik görevlileri bulunması, duman detektörü, sesli alarm sistemi, yangın teçhizatının tam olması, fiziki güvenlik önlemlerinin ulusal ve uluslararası kalite belgeleriyle sertifikalandırılması tedbirlerinin alındığı,
Özel nitelikli kişisel verilerin aktarımında verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın "gizlilik dereceli belgeler" formatında gönderilmesi kapsamında verilerin, kapalı olan ve açıldığı anda açıldığı belirlenebilen zarflar marifetiyle aktarılması tedbirlerinin alındığı,
İlgili kişinin E-Nabız kapsamındaki tıbbi bilgi ve belgelerin tamamının ilgili mevzuat gereği Sağlık Bakanlığı'na aktarıldığı, bu amaçla Sağlık Bakanlığı tarafından ruhsatlandırılmış olan HBYS sisteminin kullanıldığı ve bu nedenle E-Nabıza işlenmiş olan tedavi kapsamındaki bilgi ve belgelerin yine ilgili mevzuat gereği HBYS'de de bulunduğu, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresine cevaben tıp merkezinin cevabi yazısı ekinde hastanın tıbbi kayıtlarının aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri olduğu,
Tıp merkezince kullanılan otomasyon sistemine özel nitelikli veri içeriği işlenmemekle birlikte, alınan hizmet kalemlerinin işlendiği (MR, Röntgen, Muayene, Laboratuvar hizmeti gibi tıbbi içeriği olmayan hizmet listesi başlıkları) ve aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c ), (ç) ve (e) bentleri olduğu,
Kanun'un 11’inci maddesine dayalı başvurusuna istinaden ilgili kişi vekiline teslim edilmek üzere ve içeriğinde sağlık verilerinden bahseden yanıt metninin, hazırlık ve görüş almak amacıyla ve sır saklama yükümlülüğü altında bulunan vekillere aktarıldığı, bahse konu hususta da aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
Doğrudan aktarım olmamakla birlikte tıbbi verilerin, bakım firması tarafından bakım zamanlarında ve entegrasyon firmasının entegrasyon sorunlarında kontrollü ve kademeli erişimine açık olduğu, söz konusu firmalar ile ana sözleşmelerinde kişisel verilere ilişkin hüküm olduğu ve sözleşmelere ek gizlilik protokolleri olduğu, söz konusu aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresi ile hastaya ait tedavi kayıtlarının talep edildiği, buna ilişkin olarak ilgili mahkemeye hasta dosyasının gönderildiği,
Mahkeme müzekkeresinde talep edilen evrakların sağlık ve cinsel hayat ilişkin veriler içermesi halinde de cevap verilmesinin gerektiği; Kanun’un 8’inci maddesinin 2 numaralı fıkrasının (b) bendi gereği yeterli önlemler alınmak kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği,
Türkiye Cumhuriyeti’nin bir hukuk devleti olduğu ve mahkemelerden bilgi ve belge saklanamayacağı, sır saklama yükümlülüğü altında olan kişilerin, tanıklıktan kendi tercihlerine dayalı olarak imtina edebilirse de bu hususun kanuni bir mecburiyet halinde olmadığı, zaten somut olayda ilgili hekimin mesul müdür sıfatıyla tanıklık yapmadığı; aksine talep edilen resmî belgeleri kamu görevi icra eden tıp merkezi adına iletmekle iktifa ettiği,
Mahkeme müzekkerelerinin, taraf vekillerinin bilgisi dahilindeki ara kararlara istinaden hazırlandığı, taraf vekillerinin, uyuşmazlık konusunda özel nitelikli kişisel verilerin talep edilmesine karar verilen bir mahkeme dosyasında gizlilik kararı alınması için talepte bulunması gerektiği, zira bu durumun vekalet borcunun özen yükümlülüğünün bir sonucu olduğu, bu hususun, müzekkere sorumlusu kurumun müzekkereyi yanıtlarken dosyada gizlilik kararı bulunup bulunmadığını kontrol ve teyidini gerektirmeyeceği,
Mahkeme dosyalarının kişilerin erişimine kapalı olduğu; münhasıran ilgili mahkemenin kalem memurları ve hakiminin erişimine açık olduğu, avukatların da Avukatlık Kanunu’nun ilgili hükümleri gereği dosya inceleme talebinde bulunması ve mahkemece uygun bulunması halinde dosyayı inceleyebildiği ve bu durumun Kanun’da açıkça öngörülen, avukatlığın kamu görevi olmasına dayalı bir durum olduğu,
Kanun’un 28’inci maddesinde "kanunun uygulanmayacağı haller"in belirlendiği, bu hallerden birinin maddenin (1) numaralı fıkrasında, "Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi" olarak düzenlendiği, somut olayda gerek müzekkere gerekse yanıttan görüleceği üzere "Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması"nın söz konusu olmadığı,
İlgili kişinin hasta dosyasının üst yazı eşliğinde gönderildiği, üst yazıda ise tıbbi evrakların listelendiği, detay verilmediği, talep edilen dışında belge aktarılmadığı, dosyanın kapalı zarf içinde gönderildiği, fiziksel olarak zarfın teslimden önce açılıp açılmadığı anlaşılabilecek özelliklere sahip kapalı bir zarf tercih edildiği, ayrıca hasta dosyasının "Adreste yapılan kabul" tercihli olarak iletildiği; gönderinin en dışına PTT'nin plastik zarfının yerleştirildiği,
Mahkemeye aktarımda özel kargo yahut kurye tercih edilmediği, kamu iktisadi kuruluşu olan PTT’nin tercih edildiği, PTT’nin adliyelerde hususi olarak yer tahsis edilmiş birimi ve personeli bulunan ve evrakları doğrudan ilgili mahkemeye aktarabilen ve dağıtım-tebliğ süreçleri mahkemeye kayıtlı ve mahkeme denetiminde olabilen yegâne kuruluş olduğu, gönderinin doğrudan mahkemeye gönderildiği,
Somut olayda ilgili kişi bakımından evrakların gönderiminde veri maskeleme yapılmadığı, mahkemelere gönderilen müzekkere ekindeki tıbbi evraklar bakımından veri maskelemesi yapılması bilginin doğruluk ve güncelliğini ihlal edeceğinden; veriler üzerinde maskeleme işleminin, verilerin başka kurum ve kuruluşlara aktarılması halinde yapıldığı, bu durum yargı erkinin erişim hakkını sınırlayacağı için somut olayda bu tedbirlerle yetinildiği, mahkeme müzekkerelerinin dış zarfına tıp merkezleri tarafından gizlilik kaşesi basıldığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 14/09/2023 tarih ve 2023/1578 sayılı Kararı ile;

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanunun 6’ncı maddesinde “Özel Nitelikli Kişisel Verilerin İşlenme Şartları”nın düzenlendiği, buna göre, birinci fıkrada kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrada, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrada, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin, dördüncü fıkrada özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğunun düzenlendiği,• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin a) 5 inci maddenin ikinci fıkrasında, b) yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
Şikâyete konu kişisel veri aktarımının temelini oluşturan mahkeme müzekkeresinde, “…….. boşanma (çekişmeli)) davası nedeniyle; aşağıda açık kimlik bilgileri yazılı şahsın kurumunuzda görmüş olduğu tedavilere ilişkin kayıtların çıkartılarak ivedilikle mahkememize gönderilmesi rica olunur” ifadelerine yer verildiğinin anlaşıldığı, mahkemeden iletilen müzekkerenin herhangi bir gizlilik derecesi taşımadığı,
Veri sorumlusunun müzekkereye cevabi yazısında gönderilen belgelerin bir listesinin yazıldığı ve yazı üzerinde bir gizlilik derecesine yer verilmediği,
Kişisel Sağlık Verileri Hakkında Yönetmelik’in “Kişisel Sağlık Verilerinin Aktarılması” başlıklı 15’inci maddesinin; “Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.” hükmünü amir olduğu,
Şikâyete konu belge, aile mahkemesinde görülmekte olan bir dava kapsamında ilgili mahkemeye sunulmuş olup, özel mahkemelerden olan aile mahkemelerince yapılan yargılamalara ilişkin hükümlerin, 4787 sayılı Aile Mahkemelerinin Kuruluş ve Görevleri Hakkında Kanun’da düzenlendiği, anılan Kanun’un, “Usul hükümleri” başlıklı 7’nci maddesinin (2) numaralı fıkrasında, “Özel kanunlardaki hükümler saklı kalmak kaydıyla, bu Kanunda hüküm bulunmayan konularda Türk Medenî Kanununun aile hukukuna ilişkin usul hükümleri ile Hukuk Usulü Muhakemeleri Kanunu hükümleri uygulanır” hükmünün düzenlendiğinin görüldüğü,
Aile mahkemesinde yapılan yargılama kapsamında mahkemece talep edilen bilgi ve belgelerin ibraz edilmesi hususunda 4787 sayılı Kanun’da özel bir hüküm bulunmaması nedeniyle ilgili Kanun’da yapılan atıf gereği 6100 sayılı Hukuk Muhakemeleri Kanunu hükümlerinin incelendiği, 6100 sayılı Kanun’un, “Üçüncü kişinin belgeyi ibraz etmemesi” başlıklı 221’inci maddesinde, “(1) Mahkeme, üçüncü kişi veya kurumun elinde bulunan bir belgenin taraflarca ileri sürülen hususun ispatı için zorunlu olduğuna karar verirse, bu belgenin ibrazını emreder. (2) Belgeyi ibraz etmesine karar verilen herkes, elindeki belgeyi ibraz etmek; belgeyi ibraz edememesi hâlinde ise bunun sebebini delilleri ile birlikte açıklamak zorundadır.” hükmünün düzenlendiği,
Somut olayda da veri sorumlusuna mahkeme tarafından yazılan bir müzekkere ile ilgili kişinin gördüğü tedavilere ilişkin kayıtların talep edildiği, veri sorumlusunun 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme uygun şekilde ve Kanun’un 8’inci maddesinin (3) numaralı fıkrasında düzenlenen “Kişisel verilerin aktarılmasına ilişkin diğer Kanunlarda yer alan hükümler saklıdır” hükmü çerçevesinde özel nitelikli kişisel veri ihtiva eden belgeleri mahkemeye sunduğu ve bu kapsamda yapılacak bir işlem olmadığı kanaatine varıldığı,
Öte yandan, ilgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığının da belirtildiği, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığı,

değerlendirmelerinden hareketle;

İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğuna,
İlgili kişinin özel nitelikli kişisel verisi niteliğindeki sağlık kayıtlarının veri sorumlusu tarafından mahkemeye aktarılmasının, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme dayandığı dikkate alındığında söz konusu kişisel veri aktarımının Kanun’un 8’inci maddesinin (3) numaralı fıkrasında yer alan “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğuna,
Aktarım faaliyetlerinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler konulu 2018/10 sayılı Kurul Kararı”na uygun olarak önlemlerin alınması gerektiği, bu kapsamda özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilmek suretiyle seçilmesi gerektiği hususunda veri sorumlusuna hatırlatma yapılmasına,
İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığına, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

06.07.2023: “İlgili Kişinin Rapor ve İlaç Kayıtlarının Eczane Tarafından Eski Eşi ile Paylaşılması"

Karar Tarihi	:	06/07/2023
Karar No	:	2023/1130
Konu Özeti	:	İlgili kişinin rapor ve ilaç kayıtlarının eczane tarafından eski eşi ile paylaşılması

Kuruma intikal eden şikâyette özetle; ilgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde Eczacıdan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin şikâyete konu kişisel bilgilerinin Medula sistemi tarafından işlendiği, Eczanelerin Medula sistemine bağlı olduğu, rutin işlemlerde reçete ve ilaç listesini bu sisteme girerek görebildiği,
Medula sistemine kaydedilen kişisel bilgilerin hastane, poliklinik ve aile sağlık merkezlerindeki görevli personel veya hekimlerce işlendiği,
Sağlık kuruluşu tarafından hastanın herhangi bir rahatsızlığında, tanı teşhis ve reçetenin referans numarası ile sisteme kaydedildiği; hastanın bu kayıttan sonra eczaneye gelerek Medula sistemine kaydedilen ilaçlarını aldığı,
Kanun’un 5’inci maddesi uyarınca ilgili kişinin herhangi bir sağlık kurumuna giderek Medula sisteminde kişisel verilerinin işlenmesine onay verdiği; onay vermediğinde ilgilinin sağlık hizmetinden faydalanma imkânı olmadığı, eczacının sisteme veri kaydetmediği, yalnızca sisteme kaydedilen veriler neticesinde ilaç tedariki sağladığı,
İlgili kişinin eski eşinin eczaneye geldiği, eczane çalışanına ilgili kişinin ilaç raporları hakkında soru sorduğu, raporların yenilenmesi gerekçesi ile rapor çıktılarının gerektiğini ifade ettiği, tarafların boşandıklarını ve aralarında velayet konusunda bir husumet bulunduğunu bilmeyen eczane çalışanının, ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiği,
İlgili kişinin eczanenin uzun zamandan beri müşterisi olduğu, rapora bağlı ilaçlarının her seferinde eşi tarafından eczaneye gelinerek alındığı, eczaneden sürekli alışveriş yapan ilgili kişinin bir süre sonra rahatsızlandığı ve rapora bağlı ilaçlarının eşi tarafından her seferinde eczaneye gelinerek alındığı, bu durumun 2018, 2019, 2020 ve 2021 yıllarında bu şekilde gerçekleştiği, ilgili kişinin 4 yıl boyunca ilaçlarını kendi nam ve hesabına eşi tarafından eczaneden alınmasına, reçetelerini eczaneye vermesine ve ilgili kişi adına reçete işlemleri yapmasına onay verdiği,
İlgili kişinin eşinin ilaç reçetelerinin, ilaç tedarikinin, rapor takiplerinin ve yenilenmelerin eşi tarafından yapıldığı ve ilgili kişinin bu duruma peşinen rıza gösterdiği, ilgili kişi tarafından duruma rızasının bulunmadığının eczacıya bildirilmediği veya söylenmediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 06/07/2023 tarih ve 2023/1130 sayılı Kararı ile;

Medula sisteminin Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı, Medula Eczane, Medula Optik, Medula Doktor ve Medula Hastane olmak üzere 4 temel alt modülü olduğu,
Medula Eczane’nin Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu çevrimiçi olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
Medula sistemini kullanan tüm sağlık hizmeti sunucularında e-rapor uygulamasına geçilmesi, raporların hastaneler tarafından yine elektronik ortamda onaylanması, elektronik raporlara ekleneceği belirtilen belgelere ait bilgilerin rapor içinde belirtilmesi sebebiyle ayrıca belge istenmemesi, ödenme koşulu rapora bağlı ilaçların gerek SGK gerek eczaneler tarafından kontrolü ile ilacın sözleşmeli eczaneler tarafından karşılanabilmesi için hastanın daha önce almış olduğu tedavi ve ilaçlara ilişkin rapor bilgilerinin eczaneler tarafından takip edilmesinin zorunlu olması, aksi halde ilacın karşılanamayacağı ve bu nedenle mağduriyetlerin söz konusu olacağı düşünüldüğünden kişilerin son 1 yıllık ilaç bilgisi ile rapor bilgilerinin Medula Eczane Provizyon Sistemi üzerinden sözleşmeli eczaneler tarafından görüntülenmesine izin verilmesi, SGK ile sözleşmeli eczanelerin elektronik reçetelerde yazılı olan bilgileri değiştirmesine sistem tarafından izin verilmemesi, SGK ile sözleşmeli eczacıların yalnızca reçetede yazılı ilacı eşdeğeri ile değiştirebilmesi ve ilacın adetini düşürebildiği hususları birlikte değerlendirildiğinde safi SGK ile sözleşmeli olan eczacıların bu sistemi kullanmaya yetkili olmasının, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebilmesinin veri sorumlusu olarak adlandırılmalarına yeterli olmayacağı aynı zamanda somut olaya ilişkin veri işleme faaliyetinin ne olduğuna bakılması gerektiği,
Öyle ki bu sistem üzerinden hastaların raporlarının ve ilaç bilgilerinin kontrol edilmesinin tek başına veri sorumluluğu doğurmayacağı gibi eczacıların bu verilerin işleme amacını, vasıtasını belirlememekle birlikte Medula sisteminin kurulmasından ve yönetilmesinden de sorumlu olmadığı,
Bu kapsamda, eczacıların ilaç temini sürecinde Medula sistemine girilen veriler açısından ayrı bir işleme faaliyeti yapmakla yetkilendirilmiş kişiler olmadığı, Kanun’un 3’üncü maddesi kapsamında veri sorumlusu özelliklerini taşımadıkları ve ödeme süreçlerinin tamamlanabilmesi için veri işleme faaliyeti yürüttükleri için veri işleyen sıfatını haiz olduğu,
Öte yandan, Medula sisteminin işlevi için gerekenden fazla bir veri işleme faaliyeti yürütülmesi durumunda örneğin ilgili kişilerin rapor ve ilaç listesinin çıktısı alınarak hastalara ilişkin özel bir klasör oluşturulması veya söz konusu verinin üçüncü bir kişi ile paylaşılması durumlarında bu kişilerin veri sorumlusu sıfatını haiz olacağı,
Kanun’un 6’ncı maddesinin “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde düzenlendiği,
Kanun’un 12’nci maddesinin birinci fıkrasının, “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü haiz olduğu, anılan maddenin dördüncü fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiği,
T.C. Sağlık Bakanlığı tarafından yayınlanan İyi Eczacılık Uygulamaları Kılavuzunun 5b.2 maddesinde ise “Eczacı, yürürlükteki mevzuat çerçevesinde mesleki ve etik davranışlar sergiler, hastanın özel yaşam ve mahremiyetini korur”; 6.5. maddesinde “Eczanede, eczacı ve hasta arasında yapılan görüşmelerde hasta mahremiyeti göz önünde bulundurulur ve görüşmeler bu doğrultuda yapılır.”; 10.ç.5. maddesinde “Eczacı, hasta veya yakınına vereceği bilgileri belirli bir düzen içinde sunar; önemli noktaları görüşmenin başında anlatır, sonunda tekrarlar.” hükümlerinin yer aldığı,
Eczacının saklaması gereken sır niteliğindeki bilgilerin kapsamının geniş olduğu, başkalarının öğrenmesi halinde hastanın maddi veya manevi zarara uğrayacağı, ayıplanacağı, dışlanacağı ya da hastanın psikolojik olarak kendini kötü hissedeceği bilgilerin sır olarak kabul edildiği,
Sır saklama yükümlülüğüne aykırı davranıştan dolayı hastaların tazminat talep edebildiği, Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu’nun 116’ncı maddesi gereğince sorumlu olduğu,
Çalıştırdığı personelin seçimi, bilgilendirilmesi, denetimi ve talimat verilmesinde gerekli objektif özen ve dikkati gösterdiğini ya da bunu göstermiş olsa bile zararın doğumuna engel olamayacağını kanıtlar nitelikte bir bilgi ve belge sunamayan ve ilgili kişinin sağlık verilerinin üçüncü bir kişi ile paylaşılmasına sebep verecek şekilde özen yükümlülüğüne aykırı olarak hareket ettiği değerlendirilen eczacının (veri sorumlusunun) Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği

değerlendirmelerinden hareketle;

Veri sorumlusu eczacının Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri Kanun’un 6’ncı maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında Kanun'un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
Veri güvenliğinin sağlanabilmesini teminen Kanun ile Kurulun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararına uyum hususunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusu eczacının uyarılmasına

karar verilmiştir.

15.06.2023: “Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi"

Karar Tarihi	:	15/06/2023
Karar No	:	2023/1050
Konu Özeti	:	Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Kuruma intikal ettirilen şikâyette özetle; ilgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı ifade edilerek ilgili ses kayıt dökümünün tarafına sağlanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin, sanal kart ürününe ilişkin herhangi bir veri kopyalaması olup olmadığına dair başvurusu üzerine konu hakkında detaylı araştırmalar gerçekleştirilmesinin ardından, ilgili kişinin herhangi bir kişisel verisinin kopyalanmadığının tespit edildiği,
Herhangi bir veri kopyalaması söz konusu olmadığından, kopyalanan kişisel verilere ilişkin yazılı bir bilgilendirme yapılmamakla birlikte ilgili kişi ile müşteri iletişim merkezi arasında gerçekleşen görüşmede kart bilgilerinin risk altında olduğuna ilişkin olarak ilgili kişinin bilgilendirildiği,
İlgili kişi tarafından kendilerine yapılan ikinci başvurunun, ilgili kişinin e-posta adresine gönderilen içerik ile kapsamlı şekilde yanıtlandığı ve bu cevapta, ilgili kişinin sanal kartının provizyona kapatılma nedeninin riskli iş yeri olarak kabul edilen internet sitelerinden birinde söz konusu sanal kart ile işlem yapılması olduğunun tespit edildiğinin belirtildiği ve kartın kullanıma kapatılmasının kişinin kendi talebi ve iradesi ile Banka’nın iletişim kanalları üzerinden ilettiği talimata istinaden gerçekleştirildiği,
İlgili kişi ile Banka’nın müşteri temsilcisi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı ve bu kayda ilişkin ilgili dökümün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi ile anılan Kanun’un ilgili maddesi kapsamında Bankacılık Düzenleme ve Denetleme Kurumunca çıkartılan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” kapsamında düzenlenen sır saklama yükümlülüğü uyarınca ilgili kişi ile paylaşılamadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarih ve 2023/1050 sayılı Kararı ile;

Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili; (a) kişisel veri işlenip işlenmediğini öğrenme, (b) kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (c) kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, (e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, (ğ) kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı; talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği,
Bununla birlikte, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya Cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında veri sorumlusunun, bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği; (3) numaralı fıkrasında veri sorumlusunun, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği; (5) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağı hükmünün düzenlendiği,
Veri sorumlusu tarafından Kuruma iletilen yazı ve ekinde yer alan belgeler incelendiğinde, ilgili kişi tarafından veri sorumlusuna yapılan ilk başvurunun veri sorumlusu tarafından yazılı bir şekilde yanıtlandırılmadığının anlaşıldığı, ikinci başvurunun ise, ilgili kişinin iddiasının aksine, veri sorumlusu tarafından cevaplandırıldığının görüldüğü, bununla birlikte söz konusu başvurunun Kanun’da düzenlenen otuz günlük sürenin geçirilmesinin ardından yanıtlandığının tespit edildiği,
İlgili kişinin, veri sorumlusu Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinde düzenlendiği, anılan maddenin (3) numaralı fıkrasında bankacılık hukukuna özgü bir kavram olan “müşteri sırrı” kavramının sınırlarının ortaya konulduğu ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğinin düzenlendiği,
Diğer yandan, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”te banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımına ilişkin kapsam, şekil, usul ve esasların belirlenmesinin amaçlandığı ve sır saklama yükümlülüğünün kapsamı, bu yükümlülükten istisna tutulan hâller ile sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelerin çerçevesinin çizildiği,
İlgili kişi ile veri sorumlusunun müşteri temsilcisi arasında gerçekleşen görüşmeye ilişkin olarak veri sorumlusu tarafından Kuruma iletilen döküm incelendiğinde, somut olayın veri sorumlusu tarafından belirtildiği şekilde gerçekleştiğinin anlaşıldığı,
5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta düzenlenen sır saklama yükümlülüğünün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının söz konusu veriye erişim hakkını da kapsadığı

değerlendirmelerinden hareketle;

5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi ve buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına,
İlgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

15.06.2023: “Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması"

Karar Tarihi	:	15/06/2023
Karar No	:	2023/1041
Konu Özeti	:	Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması

Kuruma intikal eden şikayette özetle; ilgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği, bu özellikleri karşılayan ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği, ürünün satın alınabilmesi için söz konusu metinlerde bulunan alanların doldurulmasının zorunlu kılındığı, özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı ve hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

İnternet sitesinden gerçekleştirilecek alışveriş öncesinde müşterilerden hesap oluşturmalarının ve tanımlayıcı bilgilerle son iki kutucuğu işaretlemelerinin beklendiği, bunlardan önce yer alan ilk kutucuğun ticari iletişim amacıyla bulunduğu ve opsiyonel olduğu, kutucukların “opt-in” yöntemi ile onay verilecek bir sistem olarak düzenlendiği, müşterilerin opsiyonel olan ticari iletişime izin vermiş olmaları halinde dahi istedikleri zaman ve hiçbir gerekçe göstermeksizin açık rızalarını geri çekebileceği, söz konusu kutucuk üzerinden opt-in (tercihe bağlı) olarak onam verilip verilmemesinin internet sitesinden alışveriş yapılmasına engel teşkil etmediği, satış için ön koşul olmadığı,
Vergi Usul Kanunu’nun 230’uncu maddesinde faturada bulunması gereken asgari içeriğin belirtildiği, bu alanda doldurulması talep edilen bilgilerin isim, soyisim ve adres bilgisi olduğu, bu bilgilerin satış işleminin yapılabilmesi ve fatura düzenlenebilmesi için mevzuat gereği alınması zorunlu bilgiler olduğu, e-posta adresinin ve hesap oluşturma işleminin müşterinin gönderi takibi yapabilmesi için gerekli olduğu, müşteri telefon bilgisinin gönderinin ulaştırılabilmesi amacıyla kargo şirketine verilmek üzere alındığı, T.C. kimlik numarasının zorunlu olmayıp kişinin doğru T.C. kimlik numarası bilgisini vermek istemesi halinde alındığı ve opsiyonel olduğu, internet sitesinde hiçbir şekilde sağlık verisinin talep edilmediği,
Veri Sorumlusunun küresel bir grup şirketin iştiraki olduğu, uluslararası sistemlerin işleyişine katılım zorunluluğu nedeniyle yurt dışına sadece üyelikte alınan isim-soyisim, adres ve e-posta verisini aktarabildiği, bu verilerin de 6698 sayılı Kanun’un 9’uncu maddesine göre açık rıza doğrultusunda alındığı ve imalatçı sıfatıyla Tıbbi Cihaz mevzuatında düzenlenen yasal yükümlülükleri yerine getirebilmek amacıyla işlendiği, bu sebeple müşteriye özgür iradesi ile seçim hakkı sunularak ve aydınlatma metni ile açıkça bilgilendirilerek açık rıza vermesi halinde verilerin yurt dışına aktarılacağının belirtildiği,
Açık rıza vermek istemeyen müşterilerin müşteri hizmetlerini arayarak ürünleri internet sitesi hariç bir satış kanalından temin edebilmesinin mümkün olduğu, müşterilerin zorunlu tutularak açık rızasının talep edilmesi gibi bir durumun söz konusu olmadığı, ticari iletişim açık rızası ve yurt dışına veri aktarımı açık rızasının iki farklı sekme ve farklı bilgilendirme metinleri ile müşteri incelemesine sunulduğu,
Ürünün alternatif satış kanalının, Tıbbi Cihaz Satış, Tanıtım ve Reklam Yönetmeliği'ne uygun olarak Tıbbi Cihaz Satış Merkezi Yetki Belgesine sahip “yetkili satıcı aracılığıyla satış” olduğu, yetkili satıcının usule uygun olarak Ürün Takip Sistemi kaydının yapıldığı,
Yetkili satıcının satış işlemini tamamlayabilmek adına; ürünlerin kargolanabilmesi için ve mali mevzuat uyarınca alınması zorunlu olan ve yasal gerekliliklerin tamamlanması için gerekli olan müşteri adı, soyadı ve adresi bilgilerini aldığı ancak bu verilerin herhangi bir surette işlenip/depolanmadığı, bununla birlikte yetkili satıcının yerel bir firma olması ve tüm işlemlerin Türkiye'de yürütülmesi sebebi ile verilerin herhangi bir surette yurt dışına aktarılmadığı,
Yetkili satıcı tarafından sunulan alternatif satış kanalında herhangi bir ek veya farklı maliyet kalemi doğmadığı, kargo ücretinin ve/veya teslimatın ücretsiz yapıldığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1041 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişiyi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade edecek şekilde tanımlandığı,
Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden; somut olayda Veri Sorumlusu tarafından verilen hizmetin İlgili Kişinin “açık rıza” vermesi şartına bağlanıp bağlanmadığının ele alınması gerektiği, Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızanın, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade ile açıklanan rıza olduğu, bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak alınması gerektiği, bu doğrultuda Veri Sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, diğer bir deyişle, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerektiği,
Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması beklendiğinden bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde olmasının şart olduğu, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılmasının) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, zira hizmetin açık rıza şartına bağlanması özgür iradeyi ortadan kaldıracağından ilgili kişinin rıza beyanının da hukuken geçerli bir “açık rıza” olarak değerlendirilemeyeceği,
İlgili Kişinin gerçek iradesi ile uyuşan ve kendi kararına dayanan bir beyan söz konusu değilse yahut rıza göstermemek İlgili Kişiyi rıza göstermekle amaçladığı duruma kıyasla zarara uğratmakta, rızanın daha sonra geri alınması hiçbir şekilde mümkün olmamakta ise rızanın özgür bir irade beyanına dayandığının kabul edilemeyeceği,
İnceleme dosyası kapsamındaki tüm bilgi ve belgenin bir arada değerlendirilmesi neticesinde şikayet tarihinde yurt dışına veri aktarımına ilişkin açık rıza alınması yönündeki uygulamanın internet sitesi üzerinden yapılan satışlarda söz konusu olduğu, ancak kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu kanalın herhangi bir ek maliyet/yükümlülük öngörmeksizin müşterilere alışveriş olanağı sunduğu, bu doğrultuda İlgili Kişinin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebilecek olduğu, dolayısıyla hizmetin açık rıza şartına bağlanmış sayılamayacağı,
Veri Sorumlusunun internet sitesi ve üyelik/satış ekranı incelendiğinde şikâyet tarihinde internet sitesinde ve üyelik ekranında yer alan ifadeler ile işbu karar tarihinde ulaşılan sayfalarda yer alan metinlerin farklı olduğunun görüldüğü, internet sitesinin önceki halinde yer alan “Ürün satın alma ile ilgili detaylı bilgi için … numaralı telefonumuzdan Müşteri Hizmetlerimize ulaşabilirsiniz.” şeklindeki ifadenin kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşterilerin müşteri hizmetleri aracılığıyla sipariş verebilme imkanına sahip olduğunu açıkça ortaya koymadığı, müşterilere şeffaf bir yönlendirme sağlamaktan uzak olduğu, güncel internet sitesinde yapılan değişikliğin alternatif bir satış kanalı bulunduğunun müşteriler tarafından anlaşılmasını hayatın olağan akışında beklenemez hale getirdiği,
Gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı iddiası yönünden; kural olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu niteliğini haiz kişilerin Kanun’un 10’uncu maddesi uyarınca kişisel verisi işlenen gerçek kişilere karşı aydınlatma yükümlülüğünün uygulama alanı bulduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Usul ve Esaslar” başlıklı 5’inci maddesinin birinci fıkrasının (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu hükmünün yer aldığı, söz konusu iki hükmün birlikte değerlendirilmesi neticesinde, gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun’a aykırılık teşkil etmediği,
Sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiası yönünden; Veri Sorumlusu tarafından satışa sunulan ürünü satın alan kişilerin diyabet hastası olduğu kanısına varılamayacağından istenen bilgilerin Kanun’un 3’üncü maddesi anlamında kişisel veri olduğu veya ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı,
Kişisel verilerin ticari amaçlarla veya pazarlama maksadıyla işlenmesine rıza verilmeksizin de satın alım ve üyelik işlemine devam edilebildiği, İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızasının arandığı ve bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı tespit edildiğinden söz konusu iddia yönünden Veri Sorumlusunun uygulamasının Kanun’a aykırılık teşkil etmediği

değerlendirmelerinden hareketle;

Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsendiği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı; diyabet hastalarının kullanımına sunulan bir ürünün satışının yapılması yolu ile bu ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı ve bu sebeple özel nitelikli kişisel veri işlendiği iddiasının kabul edilebilir olmadığı; İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızanın arandığı ve somut olayda bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı dikkate alınarak İlgili Kişinin gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı, sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına,
Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden ise şikâyet tarihinde internet sitesi üzerinden yapılan alışverişlerde müşterilerin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rıza alındığı ancak kişisel verilerinin yurt dışına aktarılmasına rıza göstermeyen müşteriler için müşteri hizmetleri aracılığıyla satış kanalının mevcut olduğu, bu sebeple hizmetin açık rıza şartına bağlanmadığının değerlendirildiği ancak bu Karar tarihinde ise Veri Sorumlusunun internet sitesinde yapılan değişiklik neticesinde alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda Veri Sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.06.2023: “Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi"

Karar Tarihi	:	01/06/2023
Karar No	:	2023/938
Konu Özeti	:	Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi

Kuruma intikal ettirilen şikayette özetle;

İlgili kişinin Üniversitenin öğrencisi olduğu, Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği,
Söz konusu elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği,
Buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği

ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ilgili üniversiteden savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin Üniversitenin kurumsal platformu tarafından günlük otomatik olarak gönderilen; akademik ve idari duyuruların ve etkinliklerin sadece konsolide konu listesini içeren özet elektronik postaları almak istemediği,
Söz konusu elektronik postanın, duyuru ve etkinlik bilgilendirmeleri oluşturulurken tanımlanan ilgili hedef kullanıcı grubuna, günlük periyotta sistem tarafından otomatik olarak gönderildiği ve gönderi içeriğinde muhatap öğrencinin öğretim hakkıyla doğrudan ilgili olan “tüm akademik ve idari duyurulara, eğitim süreçlerine ilişkin güncel bilgilere, kampüs gelişmelerine&etkinliklerine, İş Sağlığı & Güvenliği ve Bilgi Güvenliği” bilgilendirmelerine yer verildiği,
2017 öncesinde kurum içi iletişimin elektronik posta ile gerçekleştirildiği ve kullanıcılara bir gün içerisinde farklı akademik ve idari birimlerden çok sayıda elektronik posta geldiği, 2021 yılında ise sadece konsolide konu listesini içeren özet liste niteliğindeki elektronik posta gönderim sürecinin başlatıldığı,
Söz konusu elektronik postaların, kullanıcılara üniversite tarafından tahsis edilen edu.tr uzantılı kurumsal e-posta adreslerine gönderildiği, şikâyete konu olan elektronik postaların da ilgili kişiye tahsis edilen kurumsal elektronik posta adresine iletildiği,
İlgili kişiye, şikâyete konu sürecin genel işleyişi hakkında bilgi verildiği ve kişisel olarak bir çözüm sağlayabilmesi için elektronik posta klasör düzenlemesi önerilerinde bulunulduğu,
Üniversiteye ait platformun iç iletişim fonksiyonu çerçevesinde kullanıcıların meşru menfaatlerini sağlama sorumluluğu, fiziksel güvenlik, iş sağlığı güvenliği ve bilgi güvenliği açısından taşıdığı riskler nedeniyle, kullanıcıların taleplerine istinaden bu gönderim listesinden çıkartılmalarının uygun değerlendirilmediği,
İlgili kişiye bilgisi verilen geliştirme ve gönderi listesinden çıkarılması sürecinin de bu nedenle iptal edildiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarih ve 2023/938 sayılı Kararı ile;

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un, “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10 uncu maddesinin (1) numaralı fıkrasında, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” denilerek ilgili kişilere yapılacak bilgilendirmenin asgari olarak içermesi gereken konuların belirtildiği,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel verinin işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (b) bendinde kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerektiği; (ç) bendinde Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Sicile açıklanan bilgilerle uyumlu olması gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin, ilgili kişinin talebine bağlı olmadığı; (e) bendinde Aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu; (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği; (g) bendinde aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması, aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi ve gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanılmaması gerektiği; (ğ) bendinde aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerektiği; (h) bendinde Kanun’un 10’ uncu maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kastın, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanun’un 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlenmesi olduğu ve Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiği; (ı) bendinde Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı gruplarının belirtilmesi gerektiği; (i) bendinde aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde belirtilmesi gerektiği; (j) bendinde ise Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği hükümlerinin yer aldığı,
Yapılan incelemede veri sorumlusu tarafından ilgili kişinin kurumsal elektronik posta adresine farklı tarihlerde elektronik posta gönderildiğinin anlaşıldığı; söz konusu elektronik postaların içeriğinde veri sorumlusu bünyesinde yapılan etkinliklerin, idari faaliyetlerin, eğitim olanaklarının ve veri sorumlusunun yapmış olduğu diğer duyuruların bulunduğunun tespit edildiği; aynı zamanda, söz konusu elektronik postaların veri sorumlusu tarafından ilgili kişiye tahsis edilen edu.tr uzantılı kurumsal elektronik posta adreslerine gönderildiğinin belirtildiği ancak elektronik posta adresinin veri sorumlusu tarafından ilgili kişiye tahsis edilmesinin söz konusu elektronik posta adresinin kişisel veri olma niteliğini değiştirmeyeceği
İlgili kişi tarafından veri sorumlusunun kurumsal çözüm merkezine söz konusu elektronik postaları almak istemediği ve kendisinin gönderim listesinden çıkarılması talep edilmesine rağmen veri sorumlusunun çözüm merkezi çalışanları tarafından her defasında söz konusu işlemin uzun bir zaman alacağı, üst yönetime bu durumun raporlanacağı ve söz konusu elektronik postalar için ilgili kişi tarafından yapılması istenilen çeşitli çözüm önerileri sunulduğunun anlaşıldığı,
İlgili kişinin kişisel veri niteliğini haiz kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasında (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
Bunun yanı sıra, öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmeye aydınlatma metninde yer verilmesi gerektiği,

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verisi niteliğinde olan şahsına ait kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği dikkate alındığında Kanun kapsamında yapılacak işlem bulunmadığına,
Öğrencilere kurumsal elektronik posta adresinden üniversiteye ilişkin duyuru yapılacağına ilişkin bilgilendirmeye yer verilmek suretiyle aydınlatma metninin güncellenmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.06.2023: “İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi"

Karar Tarihi	:	01/06/2023
Karar No	:	2023/932
Konu Özeti	:	İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi

Kuruma intikal ettirilen şikâyette özetle;

İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu,
Aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği,
Bu konu ile ilgili olarak yaptığı ilk başvuruya verilen cevapta Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığını belirttiği, yaptığı ikinci başvuruya Banka tarafından verilen cevapta ise şikayet konusu numaranın diğer bankalarla yapılmış olan sözleşmelere istinaden başka bankalardan alındığının belirtildiği,
KKB’nin internet sitesinde araştırma yaptığında ise ilgili kuruluşta kayıtlı telefon numarasının Banka’ya vermiş olduğu telefon numarası ile aynı olduğu yani şikayet konusu numara olmadığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

Kredi Kayıt Bürosu AŞ’nin (KKB) 9 bankanın ortaklığında 1995 yılında kurulduğu, bankalar, tüketici finansman şirketleri, leasing, faktoring, sigorta şirketleri, varlık yönetim şirketleri başta olmak üzere 150'yi aşkın yakın üyesinin bulunduğu, üyeleri ile gizlilik hükümlerini de içeren veri aktarım sözleşmesi imzalamış olduğu, Türkiye Cumhuriyeti Merkez Bankası’nın (TCMB) geçmişte üstlendiği risk santralizasyon görevini devralan Türkiye Bankalar Birliği (TBB) Risk Merkezi'nin tüm operasyonel ve teknik faaliyetlerini vekaleten kendi bünyesinde barındırdığı, bu açıdan şikayet özelinde de bankaların kredilendirme süreçlerinde karar almasına teşkil edebilecek ilgili tüm veri akışını, kredi kuruluşlarına sağlayan ülkemizin resmi kredi bürosu niteliğinde kuruluşu olduğu,
5411 sayılı Bankacılık Kanunu'nda öngörüldüğü üzere (md.73/4), KKB'de üye statüsünde bulunan finansal kuruluşların, müşterilerine ait kredi bilgilerini Nisan 1999'dan bu yana birbirleriyle, amaçla sınırlı ve ölçülü şekilde paylaştığı, veri sorumlusu Banka’nın da KKB'ye üye statüsünde bir kurum olduğu,
Bu kapsamda, ülkemizde yerel kredi bürosu işlevi gören KKB’nin; üye kurumlar arasında, kredi müşterilerine ait detaylı bilgileri, kredi riskinin minimize edilmesine olanak sağlamak üzere paylaştığı, söz konusu veri aktarımlarının çeşitli çerçeve sözleşme, protokol, genelge hükümlerine göre yürütüldüğü,
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği’nin 36’ncı maddesinin 1’inci fıkrasında; “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise; “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
Bu çerçevede, söz konusu alternatif iletişim bilgisine, ilgili yönetmelik kapsamında yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun KKB ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle ve sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
KKB kayıtlarında; kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisinden farklı bir numaranın tespit edildiği, bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve KKB'de kayıtlı en güncel iletişim bilgileri üzerinden ilgili kişi ile iletişime geçildiği, bu kapsamda KKB kayıtlarında yer alan alternatif iletişim numarasına, dolandırıcılık önleme amaçlı, genel bilgilendirme/uyarı mesajı iletildiği, iletilen mesajın içeriğinde kişisel veri ifşasına yer verilmediği,
Nihayetinde ilgili kişinin KKB kayıtlarından elde edilen alternatif mobil iletişim numarasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmesi ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayalı olarak işlendiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/932 sayılı Kararı ile;

Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin 1’inci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Veri sorumlusunun; ilgili kişinin kredi talebi sürecinde müşterinin beyan ettiği ve sistemleri aracılığıyla makul yöntemlerle (SMS OTP) doğrulanmış mobil iletişim bilgisinin kaydedildiği, söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle, sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesinin 4’üncü fıkrasında “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünün bulunduğu,
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in (Yönetmelik) “Kimlik Doğrulama ve İşlem Güvenliği” başlıklı 34’üncü maddesinde;” (1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.” düzenlemesinin yer aldığı,
İlgili Yönetmelik’in 36’ncı maddesinin 1’inci fıkrasında “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
İlgili kişinin alternatif telefon numarasına erişim sağlanan kanal olan KKB’nin söz konusu veri işleme faaliyetindeki rolüne ilişkin olarak ise; 5411 Sayılı Bankacılık Kanunu’nda yer alan Ek Madde 1 ile Türkiye Bankalar Birliği (TBB) nezdinde Risk Merkezi’nin (RM) kurulduğu, RM’nin görevinin kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak olduğu, Türkiye Cumhuriyet Merkez Bankası (TCMB) nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin 28.06.2013 tarihinde faaliyete geçtiği, KKB’nin ise TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürüttüğü, ayrıca 185 Risk Merkezi üyesi finansal kuruluşa veri toplama ve paylaşım hizmeti verdiği,
Bu çerçevede; ilgili kişinin, veri sorumlusunun online banka müşterisi olması akabinde 19.08.2022 tarihinde veri sorumlusuna kredi başvurusunda bulunduğu, öncelikle ilgili kişi tarafından Bankaya iletişim bilgisi olarak verilmiş olan telefonuna kredi işlemlerine ilişkin bir bilginin iletildiği, aynı zamanda KKB kayıtlarında kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisine rastlanmadığı, farklı numaraların varlığının tespiti halinde bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve ilgili kişiye ait KKB'de kayıtlı en güncel iletişim bilgileri üzerinden başvuru sahibi ile iletişime geçildiği, söz konusu telefon numarasının KKB kayıtlarından edinildiği, söz konusu mesajın KKB’de kayıtlı adrese iletilmesi suretiyle gerçekleştirilen işlemin, sahte bir kimlik ile beraber alternatif bir iletişim numarası kullanılarak gerçekleştirilebilecek bir kredi başvurusunun banka tarafından sehven onaylanması halinde hem bankanın ilave zarara maruz kalmamasına hem de gerçekte borç ile hiçbir ilişkisi olmayan bir müşterinin ilave maddi/hukuki yük altına girmesinin engellenmesine hizmet ettiği, söz konusu işlemlerin Bankacılık Kanunu ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca gerçekleştirildiği,
İlgili kişi tarafından KKB risk merkezinde de bankaya verilen numaranın kayıtlı olduğu iddia edilmekle birlikte KKB nezdinde Banka tarafından yapılan sorgulamada ekranında KİŞİSEL BİLGİLER başlığı altında ilgili kişinin Cep Telefonu olarak şikayete konu telefon numarasının yer aldığı görülmekte olup bu anlamda ilgili kişinin Kredi Kayıt Bürosu’nun kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve Kredi Kayıt Bürosu tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle Kredi Kayıt Bürosu nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesinin Kanunun 5’inci maddesinin 2’nci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
İlgili kişinin KKB kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve KKB tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle KKB nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği hususunun ilgili kişiye hatırlatılmasına

karar verilmiştir.

28.09.2023: “Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi"

Karar Tarihi	:	28/09/2023
Karar No	:	2023/1645
Konu Özeti	:	Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

Kuruma intikal ettirilen şikâyet dilekçesinde özetle;

Veri sorumlusunun, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu ve Türkiye'deki kullanıcılar için oyun adına her türlü işlemi yapan ve tüm ticari gelirleri elde eden firma olduğu,
İlgili kişinin, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, veri sorumlusu tarafından verilen cevapta birçok mevzuattan bahsedildiği ancak hangi kişisel verinin hangi amaç ve hangi hukuki sebeple bu mevzuatlara dayanılarak işlendiğinin bildirilmediği,
Veri sorumlusu tarafından verilen, kişisel verilerin adli ve idari kurumlar dışında yurt içinde veya yurt dışında herhangi bir yere aktarılmadığı şeklindeki cevabın tamamen gerçek dışı olduğu, veri sorumlusunun internet sitesinde yer alan ve "aydınlatma metni" olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği,
Veri sorumlusu tarafından "hile ve dolandırıcılığı önlemek" amacı ile üçüncü taraf bir yazılım kullanıldığı, bu yazılımın oyuna her giriş sırasında çalıştığı ve o an bilgisayarda bulunan tüm dosya ve yazılımları taradığı ve oyun açık kaldığı sürece bu yazılımın çalışmaya devam ettiği, söz konusu yazılımın sahibi olan firmanın lisans sözleşmesinin incelenmesi neticesinde bu yazılım aracılığıyla da kişisel verilerin hukuka aykırı olarak elde edilerek yurt dışına aktarıldığının anlaşıldığı,
Veri sorumlusunun "yalnızca IP adresi ile tespit yapıyoruz" ifadesinin gerçeğe aykırı olduğu, bir kişinin cihazında hangi yazılımın çalıştığının yalnızca IP adresi ile tespit edilmesinin teknik olarak imkânsız olduğu,
Veri sorumlusunun internet sitesinde yer alan gizlilik politikasının, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olmadığı

ifade edilerek Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Şirketlerinin ortaklık yapısının tamamen yabancı uyruklu hissedarlardan oluştuğu, şirketin yer aldığı sektörün oyuncu-geliştirici, oyuncu-yayıncı, oyuncu-oyuncu, lisans veren-lisans alan, marka hakkı sahibi-marka hakkını kullanan vb. kimseler arasında akdedilecek dijital oyun sözleşmeleri hazırlanması üzerine kurulu olduğu, böylece ortaklarının yabancı olmasının da iş süreçleri bakımından kişisel verilerin yurt dışına aktarımını zorunlu kıldığı, oyun hizmetleri kapsamında kullanılan bütün sunucuların Türkiye'de tutulduğu,
İlgili kişinin işlenen kişisel verilerinin, oyuna kayıt olunabilmesi amacıyla "e-posta adresi, IP adresi" ve kendisi tarafından güvenli giriş uygulaması seçildiyse bu verilere ek olarak "cep telefonu numarası" olduğu, söz konusu kişisel verilerin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna bağlı mevzuat, Türk Borçlar Kanunu'nun 419/3 maddesi, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı mevzuat, Türk Ceza Kanunu ve 6698 sayılı Kanun başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülüklerinin yerine getirilebilmesi amacıyla 6698 sayılı Kanun'un 5’inci maddesinin 2‘nci fıkrasının (ç) bendi doğrultusunda ve meşru menfaatlerin sağlanması amacıyla ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kanun’un 5’inci maddesinin 2’nci fıkrasının (f) bendi doğrultusunda işlendiği,
Oyun içerisinde ürün satın alınabilse de kredi kartı bilgilerinin aracı hizmet sağlayıcısı tarafından işlendiği ve hiçbir kredi kartı bilgisi, ad, soyadı bilgisinin taraflarınca işlenmediği,
Kişisel verilerin yasal yükümlülüklerin yerine getirilmesi amacıyla Kanun'un 8’inci maddesinin 2’inci fıkrasının (a) bendi ve Kanun'un 5’inci maddesinin 2’nci fıkrasının (ç) bendi uyarınca adli makamlarla paylaşılması haricinde tedarikçi de dahil olmak üzere kullanıcıların kişisel verilerinin kimse ile paylaşılmadığı,
İlgili kişinin 23.05.2020 tarihinde kendilerine başvurduğu ve 22.06.2020 tarihinde ilgili kişiye cevap verildiği,
Hiçbir oyuncudan "ad, soyadı, TCKN" gibi, oyuncu ile oyun karakterlerinin ve oyundaki eşyaların eşleştirilmesini sağlayacak kişisel veri talep edilmediği, ilgili kişilerden oyun hizmeti kapsamında "e-posta adresi"nin talep edildiği, oyuncuların takma isimlerle oyuna giriş yaptığı, e-posta adreslerinin de kişilerin gerçek adlarını içermediği, çevrim içi oyunlar bakımından genel teamülün de bu olduğu,
İlgili kişinin; oyun alışveriş kayıtları, hareket kayıtları, eşya kayıtları, karakter bilgileri, sunucu bilgileri vb. bilgilerin kişisel veri niteliğine sahip olduğunu belirttiği, ancak bahsi geçen bu güçlendiriciler veya ürünlere her oyuncunun sahip olabildiği, bu nedenle de bir gerçek kişiyi belirli veya belirlenebilir kılmasının mümkün olmadığı, ayrıca oyunda belirli sayıda sunucu olması nedeniyle kullanıcıların sadece oluşturulmuş mevcut sunuculardan giriş yapabildiği, bu sunuculardan kişilerin belirlenebilir veya belirli kılınmasının mümkün olmadığı,
Hile ve dolandırıcılık faaliyetlerini tespit etmek amacıyla özel bir yazılım kullanıldığı, ilgili kişinin şikayetinde belirttiğinin aksine bu yazılımın kişilerin bilgisayarındaki tüm dosyaları taramasının, kamera ve mikrofona erişmesinin söz konusu olmadığı, bu yazılımın çalışma mantığının anti-virüs programları gibi bilgisayarda tarama yapmak olmadığı, hile ve dolandırıcılık programlarının sıfırlardan ve birlerden oluşan kodlarını tespit etmeyi amaçladığı, bunun için de bilgisayardaki tüm dosyaların değil kendi içerisine tanımlanmış hile ve dolandırıcılık yazılımlarının exe dosyası kodunu taradığı, ayrıca yazılım aracılığıyla hiçbir şekilde yurt dışına kişisel veri aktarılmadığı,
Veri sorumlusu olarak kişisel verilerin korunması konusunda gerekli azami özeni gösterdikleri,
Sadece internet sitesinin çalışması için zorunlu olan çerezlerin kullanıldığı, bu çerezler dışında pazarlama vb. amaçlarla çerez kullanılmadığı, çerez politikasının internet sitesinin ziyaret edildiği durumda “pop-up” olarak ekranda yer aldığı,
İnternet sitesinde yer alan aydınlatma metni ve gizlilik politikasının, Kanun’un yürürlüğe girdiği dönemden önce hazırlandığı, bu nedenle aydınlatma metni ile gizlilik politikasının güncellenmesi ve mevcut veri işleme faaliyetlerine uygun hale getirilmesi amacıyla yeni bir uyum sürecinin başlatıldığı

ifade edilmiştir.

Söz konusu cevap metninden, “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirilmiştir. Bu inceleme neticesinde, kişisel verilerin yurtdışına aktarımı hususunda veri sorumlusu tarafından;

Oyun kullanıcılarının/üyelerin kişisel verilerinin (kullanıcı adı, e-posta adresi, şifre ve kullanıcı tarafından sağlanması halinde cep telefonu numarasının) yurt dışına aktarılmadığı, yurt dışında bulunan hissedarlara kullanıcı verilerinin aktarılmadığı,
Kullanıcılara oyun hizmetinin sunulabilmesi için satın alınan 10 fiziksel sunucu ile bu fiziksel sunuculara bağlı olarak oluşturulan sanal sunucular ile kiralanan 1 adet fiziksel sunucunun; bu konuda hizmet alınan firmanın sistem odasında bulunduğu, sunucuların fiziksel güvenliğinin ilgili firma tarafından sağlandığı,
Yurt dışında bulunan herhangi bir sunucuyla bağlantı sağlanmadığı,
Lisansına sahip olunan hissedar yabancı şirket tarafından doğrudan gönderilmesi nedeniyle Kullanıcı Sözleşmesi ve Gizlilik Politikasının içeriğine müdahil olunamadığı, Kişisel Verileri Koruma Politikası ve Kayıt Ol Aydınlatma Metni’nin, bu dokümanlara paralel olarak hazırlandığı ve internet sitesinde yer alan tüm dokümanların Kanun’a ve ilgili mevzuata uygun hale getirilmesine ilişkin revizyon çalışmasının devam ettiği,
Günlük ve haftalık olarak yedekleme alındığı, yedeklerin bir kısmının bir bulut bilişim platformunda tutulduğu, kopyaların “Portal veri tabanı” ve “Oyuncu veri tabanı” olmak üzere 2 farklı şekilde tutulduğu, söz konusu veri tabanlarından “Portal veri tabanı”nda kişisel verilerin yer aldığı, portal veri tabanının veri sorumlusu şirket içerisinde tutulduğu ve dışardan erişimin bulunmadığı, bulut bilişim platformuna aktarılan yedekler içerisinde “Portal veri tabanı” yedeklerinin yer almadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Kararı ile;

Gözetleme yazılımı aracılığıyla kişisel verilerin hukuka aykırı işlenmesi” iddiası hakkında; veri sorumlusunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu çevrim içi oyun tarzındaki oyunlarda oyuncuların sahtecilik, hile yapma ve hesapları başkalarına satma ihtimallerinin yüksek olduğu, bu işlemi gerçekleştirebilmek amacıyla oyuncuların oyunu bizzat kendisi oynamadan bot yazılımları (Tekrarlayan, otomatik çalışan ve önceden tanımlanmış görevleri yerine getiren bir yazılım programıdır. Botlar genellikle insan kullanıcıların davranışlarını taklit eder veya onların yerini alır. Otomatik oldukları için insan kullanıcılardan çok daha hızlı çalışırlar. Müşteri hizmetleri veya dizin oluşturma arama motorları gibi kullanışlı işlevleri gerçekleştirebilecekleri gibi, bir bilgisayar üzerinde tam kontrol sağlamak amaçlı kötü amaçlı yazılım biçiminde de kullanılabilirler.) aracılığıyla otomatize edilmiş bir şekilde oyunun ilerletilmesini sağlayabildiği ve bu sayede oyun içerisinde seviye yükseltme, karakter geliştirme gibi işlemleri yapabildiği, söz konusu bot yazılımların internet üzerinde tek bir IP üzerinden bu işlemi gerçekleştirmediği ve VPN (Virtual Private Network - uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi) aracılığı ile IP adresinin bu süreç içerisinde değiştirildiği; veri sorumlusunun kullandığı özel yazılımın ise oyun açıldığı anda bilgisayar içerisinde açılan veya açılmış olan exe’lerin (executable file - Windows bilgisayarlarda bir programın kurulumuna izin veren dosyaların uzantıları exe. şeklinde olup exe. uzantılı dosyalar Windows işletim sistemlerine farklı programların yüklenmesini ve kurulmasını sağlarlar.) analizini gerçekleştirerek oyuncunun bir bot yazılımı kullanıp kullanmadığını tespit etmeye çalıştığı, bu yazılımın sadece bilgisayardaki açık olan exe’lerin türünü ayırt etmeye çalıştığı, sahtecilik ve hile yapma göstergelerinden biri olan IP değişiminin de yine bu yazılım üzerinden takip edildiği, burada internet üzerinden bilgi transferinin yapılmadığı IP adresinin takip edildiği bilgisinin elde edildiği, sonuç itibariyle veri sorumlusunun şikayete konu edilen özel yazılımı oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullandığı, bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı,
Aydınlatma yükümlülüğünün yerine getirilmesi hakkında;
- Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ayrıca Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinde aydınlatma yükümlülüğüne ilişkin “Usul ve Esaslar”ın kapsamlı bir biçimde açıklandığı,
- Veri sorumlusunun internet sitesinin incelenmesi neticesinde, kişisel veri işleme faaliyetine ilişkin olarak “Kayıt Ol Aydınlatma Metni”, “Kişisel Veri Koruma Politikası” ve “Gizlilik Politikası” metinlerinin yer aldığının tespit edildiği, “Kayıt Ol Aydınlatma Metni” ile “Kişisel Veri Koruma Politikası” metinlerinin veri sorumlusu tarafından, “Gizlilik Politikası”nın ise veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlandığı,
- Veri sorumlusu tarafından sunulan çevrim içi sanal oyun hizmetinden faydalanmak isteyen ilgili kişilerin üyelik kaydı oluşturmasının gerektiği, üyelik kaydı oluşturulurken, ilgili kişilerin “Kayıt Ol Aydınlatma Metni” ile “Gizlilik Politikası”nı okuduğuna, anladığına ve kabul ettiğine dair kutucuğu işaretlemelerinin talep edildiğinin görüldüğü, “Kayıt Ol Aydınlatma Metni” incelendiğinde veri sorumlusu tarafından üyelik kaydı oluşturacak olan ilgili kişilere yönelik hazırlandığı ve genel olarak Kanun’un 10’uncu maddesine ve Aydınlatma Tebliği’ne uygun olduğu görülmekle birlikte “… paylaşılabilir.” gibi muğlak ifadelere yer verilmemesi gerektiği,
- “Gizlilik Politikası” başlıklı metin incelendiğinde; ilgili metnin veri sorumlusunun büyük hissedarı olan şirket tarafından ziyaretçilere, kullanıcılara ve müşterilere sunulan bir çevrim içi gizlilik politikası olduğu ve söz konusu şirketin ayrı bir veri sorumlusu olduğu kanaatine varıldığı, metinde genel olarak; toplanan bilgi türleri (çocukların kişisel verilerinin işlenmesi; ilgili kişiler tarafından sağlanan tanılanabilir şahsi bilgiler; teknolojiler, yöntemler ve/veya servisler aracılığıyla toplanan bilgiler) ve bu bilgilerin e-posta adresi, cinsiyet, telefon numarası, ev adresi, doğum tarihi, IP adresi gibi bilgileri kapsadığı; elde edilen bilgilerin şirket tarafından kullanımı ve paylaşımı (ticari amaçlı kurum içi kullanımı; ticari amaçlı üçüncü partilerin kullanımı ve/veya paylaşımı; promosyon, yarışma ve/veya çekiliş durumları; satın alma, satma, tasfiye, birleşme; bilgilerin iş dışı sebeplerle ifşası, kullanımı ve/veya paylaşımına ilişkin açıklamalar) ile kişisel bilgilerin güncelliğinin sağlanması hususlarına yer verildiği, söz konusu metnin Kanun’un 10’uncu maddesi ve Aydınlatma Tebliği ile uyumlu olmadığının tespit edildiği, bu nedenle ilgili kişilere üyelik kaydı sırasında sunulan ve Kullanıcı Sözleşmesinde de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak Kanun’a uygun hale getirilmesi veya kaldırılması gerektiği,
- “Kişisel Veri Koruma Politikası” metninde ise kişisel verilerin işlenmesi faaliyetine ilişkin genel bilgilere yer verilmiş olmakla birlikte diğer iki metin ile karşılaştırıldığında daha geniş bir ilgili kişi kategorisine (çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, ziyaretçiler) hitap ettiği, veri sorumlusu tarafından yürütülen kişisel veri işleme faaliyetinin amaçları, kişisel veri kategorileri, kişisel verilerin paylaşıldığı tarafların kategorileri ve paylaşma amaçlarına yer verildiği, hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde anlaşılamadığı, bu nedenle söz konusu metnin Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (h) bentlerine uygun hale getirilmesi gerektiği,
- Sonuç itibariyle üç farklı metnin sunulmasının ilgili kişiler açısından karmaşık bir durum oluşturduğu, bu hususun yerinde inceleme sırasında da veri sorumlusuna iletildiği ve veri sorumlusunun bu dokümanların Kanun’a uyumlu hale getirilmesi için çalışmalar yürütüldüğünü belirttiği,
Kişisel verilerin yurtdışına aktarımı hakkında;
- Kanun’un 9’uncu maddesinde “Kişisel verilerin yurt dışına aktarılması” hususunun düzenlendiği, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup açık rıza açıklamasının, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini belirlemesini sağladığı, bu kapsamda açık rızanın, rıza veren kişinin olumlu irade beyanını içermesi gerektiği, veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği yurt dışına veri aktarımı gibi ikincil işlemler için ayrıca açık rıza alması gerektiği, açık rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu,
- Türkiye Ticaret Sicili Gazetesinde yapılan inceleme sonucunda veri sorumlusunun ortaklarının yabancı uyruklu iki farklı şirket olduğu, veri sorumlusunun internet sitesinde yayımladığı dokümanların ve VERBİS sorgu sayfasının, kişisel verilerin yurtdışına aktarımı yönünden incelenmesi sonucunda ise;
  - Yabancı uyruklu ortak şirketlerden biri tarafından hazırlanan “Gizlilik Politikası” metninde “…Aşağıdaki gizlilik politikası bize vermiş olduğunuz bireysel tanılanabilir bilgileriniz ve elde ettiğimiz bireysel olmayan tanılanabilir bilgilerinizi nasıl topladığımız, sakladığımız, tuttuğumuz ve kullandığımız, bu maddeler dahil ancak bunlarla sınırlı olmayan tüm aktiviteler hakkında sizi bilgilendirir…” ifadesi ile “Çevrimiçi ürünlerimizdeki ücretli servislerle bağlantılı olarak, üçüncü partilerle ticari ilişkiler kurmak zorundayız. Bu ilişkiler neticesinde müşterilerin istedikleri ücretli servisler ve/veya ürünlerin sistemini başarılı bir şekilde yürütebilmek için müşterilerimizin şahsi tanılanabilir bilgilerinin kaydının tamamını veya bir kısmını paylaşıyoruz.” ifadesinin yer aldığı,
  - “Kullanıcı Sözleşmesi” metninde ise “…Şirket bu sözleşmedeki tüm şartlar ve koşulları kabul etmeniz ve gönderilen Davranış Kurallarına uymanız halinde çevrimiçi bilgisayar oyunlarını oynamanıza izin verir. Eğer sözleşmeyi kabul ediyorsanız, lütfen bu sözleşmenin sonundaki “Bu KULLANICI SÖZLEŞMESİ’ni kabul ediyorum” ve “Bu GİZLİLİK POLİTİKASI’nı kabul ediyorum” düğmesine basınız…” ifadesinin yer aldığı, veri sorumlusu internet sitesinde oyun hesabı oluşturmak amacıyla “Kayıt Ol” sekmesine tıklandığında üyeliği gerçekleştirebilmek için “ID, e-posta, şifre” bilgilerinin girilmesi ve “Şunları okuduğumu, anladığımı ve kabul ettiğimi bildiriyorum: Kayıt Ol KVK Aydınlatma Metni, Kullanıcı Sözleşmesi, Gizlilik Politikası ve Davranış Kuralları. Eğer 13 yaşında iseniz ve yaşadığınız ülkedeki reşit olma yaşının altında iseniz, bu Kullanıcı Sözleşmesini ailenizle birlikte gözden geçirmelisiniz.” ifadesinin yer aldığı bir kutucuğun işaretlenmesi gerektiği, “Kayıt Ol Aydınlatma Metni”nde ise veri sorumlusu tarafından ilgili kişilerden temin edilen “ID, e-posta, şifre” gibi kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları kapsamında işlendiği; hesap oluşturan kullanıcıların kişisel verilerinin oyun hesabının oluşturulması, oyuncu grubuna katılımların sağlanması, sisteme girişin gerçekleştirilmesi, sunulan ürün ve hizmetlerden faydalanılabilmesi amaçlarıyla iş ortaklarıyla, tedarikçilerle, talep edilmesi ve/veya hukuken gerekmesi halinde yetkili kamu kurum ve kuruluşları, adli makamlar, mahkemeler ve noterler ile Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak paylaşılabileceğinin ifade edildiği,
  - “Kişisel Veri Koruma Politikası” başlıklı metinde ise kişisel veri sahibi kategorisinin; çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi ile ziyaretçileri kapsadığı, kişisel verilerin paylaşıldığı taraf kategorisi kapsamında ise tedarikçiler, yetkili kamu kurum ve kuruluşları ile hissedarların sayıldığı, söz konusu metinde yer alan “ürün ve hizmet alan kişi” kategorisinin, veri sorumlusu internet sitesinde yayımlanan Kayıt Ol Aydınlatma Metnini, Kullanıcı Sözleşmesini ve Gizlilik Politikasını kabul etmek suretiyle veri sorumlusu tarafından internet sitesi üzerinden sunulan çevrim içi sanal bilgisayar oyunu hizmetinden faydalanmak ve istenildiğinde oyun ürünü satın alabilmek amacıyla üyelik hesabı oluşturan ilgili kişileri kapsadığı,
  - VERBİS’e kayıtlı olan veri sorumlusunun VERBİS’e kaydettiği bilgiler incelendiğinde; veri konusu kişi grubunun çalışan adayı, çalışan, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi ile ürün veya hizmet alan kişileri kapsadığı; yurtdışına aktarılan veri kategorilerinin ise kimlik, iletişim (adres no, e-posta adresi, iletişim adresi, KEP adresi, telefon no) ve işlem güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri) olduğunun görüldüğü,
- Ayrıca “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme yapılması neticesinde; veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı, sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile sözleşme yapıldığı, veri sorumlusu tarafından sunulan veri tabanlarının yedeklenmesine ilişkin ekran görüntüleri incelenmiş olup bir bulut bilişim platformunda çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin tespit edildiği, bu çerçevede veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurtdışına aktarımının yapılmadığı kanaatine varıldığı,
Çerezler aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygunluğu hakkında;
- Kurumumuz tarafından yayımlanmış olan “Çerez Uygulamaları Hakkında Rehber”de, veri sorumluları tarafından çerezlerin kullanılması suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinde dikkat edilmesi gereken hususlara yer verildiği, bu çerçevede özetle; çerezler aracılığıyla kişisel veri işlenirken, “Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması” ve “Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması” kriterlerinin göz önünde bulundurulması gerektiği, açık rıza şartına dayanılarak gerçekleştirilecek olan kişisel veri işleme faaliyetinde açık rızanın kullanıcının aktif eylemine (örneğin kullanıcıya sunulan çerez tercihlerinin “opt-in” yönteminin kullanılması) dayanması gerektiği, çerez kapsamında açık rıza alınırken internet sitesine girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulmasının iyi uygulama örneği olabileceği, aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesinin yerinde olacağı,
- İlgili kişinin şikayetinde veri sorumlusunun internet sitesinde yayımlanan çerez politikasında açık rızası olmadığı halde "Kullanıcının bu Site'yi ziyaret etmesi, işbu politika kapsamında çerez kullanımına onay verdiği anlamına gelmektedir." denildiği ve yurt dışında bulunan bazı firmaların üçüncü parti çerezleri kullanılarak kişisel verilerinin işlendiği ve yurt dışına aktarıldığını iddia ettiği,
- Veri sorumlusunun internet sitesinde zorunlu çerezler, işlev çerezleri, analiz/performans çerezleri ile hedefleme/reklam çerezlerinin kullanıldığı, çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, gerekli çerezler dışındaki çerezler yoluyla kişisel veri işleme faaliyeti için “tüm çerezlere izin ver” seçeneğinin sunularak topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, ancak açık rıza alınmasını gerektiren her bir çerez tipi için seçeneklerin sunulması suretiyle “opt-in” yöntemiyle açık rıza alınması gerektiğinden veri sorumlusunun açık rıza metninin açık rızanın “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarını sakatladığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği,
- Diğer taraftan veri sorumlusunun internet sitesinde yayımlanan “Çerez Beyanı” ve “Çerez Politikası”nda yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, ancak Çerez Uygulamaları Hakkında Rehber’de de belirtildiği üzere, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü tarafın, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlü olduğu, Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği dikkate alındığında; ilgili kişilerin açık rızasının alınmadığı ve Kanun’un 9’uncu maddesine aykırı bir şekilde yurtdışına aktarım yapıldığı,
- Çerezler aracılığıyla kişisel veri işlenmesi faaliyetine ilişkin olarak aydınlatma yükümlülüğünün yerine getirilmesi bakımından ise internet sitesinde yer alan “Çerez Politikası” ve “Çerez Beyanı” metinlerindeki tablolarda çerezlere ilişkin farklı bilgilerin yer aldığı tespit edildiğinden tabloların güncellenmesi ve yeknesak hale getirilmesi gerektiği

değerlendirmelerinden hareketle;

Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlara dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup Kanun’un 12’inci maddesinde düzenlenen veri güvenliği yükümlülüklerine aykırı hareket ettiği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına,
Çerez Politikası ve Çerez Beyanı metinlerinin birbiri ile tutarlı ve uyumlu olacak şekilde, Çerez Uygulamaları Hakkında Rehber de dikkate alınmak suretiyle Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi, söz konusu metinlerde çerezler yoluyla kişisel verilerin yurt dışına aktarımının yapıldığı hususuna yer verilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Çerezler yoluyla kişisel verilerin yurt dışına aktarımı için ilgili kişilerden ayrıca açık rıza alınmasına yönelik gerekli düzenlemelerin internet sitesinde yapılması ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri sorumlusunun internet sitesinde yayımlanan kişisel verilerin işlenmesi faaliyetine ilişkin “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinlerin birbirleriyle ve VERBİS’e işlenen bilgiler ile tutarlı ve uyumlu olacak şekilde Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri sorumlusuna ait internet sitesinde sunulan çevrim içi oyun hizmetinde, oyun sunucularının yurtiçinde tutulması nedeniyle oyun sunucuları üzerinden oyuncuların/üyelerin kişisel verilerinin yurtdışına aktarımının yapılmadığı dikkate alındığında; web sitesinde yayımlanan “Gizlilik Politikası”, “Kullanıcı Sözleşmesi”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası”nın ve VERBİS kaydının kişisel verilerin yurt dışına aktarımı ile ilgili bölümlerinin güncellenmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı; sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile Hizmet Sözleşmesi yapıldığı ve aylık hizmet bedeli ödendiği; söz konusu firmanın sistem odasında bulunan veri sorumlusuna ait oyun sunucularının numaralarının, Hizmet Sözleşmesi ekinde belirtilen sunucuların numaraları ile aynı olduğu; veri sorumlusu tarafından bir bulut bilişim sisteminde çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin yerinde inceleme neticesinde tespit edildiği dikkate alındığında; veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına,
İlgili kişi tarafından bahse konu çevrim içi oyun oynandığı sırada, veri sorumlusunca kullanılan ve şikayete konu olan yazılımın, oyun kullanıcısı tarafından hile ve sahtekarlık amacıyla bir yazılımın kullanılıp kullanılmadığını tespit etmek amaçlı olarak “exe.” uzantılı dosyaların türünü ayırt etmek için kullanılan bir yazılım olduğu dikkate alındığında; oyun kullanıcısı/üye olan ilgili kişinin bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına

karar verilmiştir.

01.06.2023: “Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması"

Karar Tarihi	:	01/06/2023
Karar No	:	2023/928
Konu Özeti	:	: Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması

Kuruma intikal ettirilen şikayet dilekçelerinde özetle;

Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, şahsi e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin, risk durumu vb. kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığının anlaşıldığı,
Bunun üzerine, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında ilgili kişilere ait kişisel ve özel nitelikteki kişisel verilerin işlenip işlenmediği, kişisel ve özel nitelikteki kişisel verilerin işlenme amacı, hukuki sebebi ve bunların amacına uygun kullanılıp kullanılmadığı, yurt içinde ve yurt dışında kişisel verilerinin ve özel nitelikteki kişisel verilerinin aktarıldığı üçüncü kişilerin kimler olduğu hususlarının sorulduğu ve Kanunun 7’nci ve 11’inci maddesi uyarınca; kişisel verilerin imha edilmesi, üçüncü kişilere aktarılan kişisel verilerin imha edilmesi, verilerin gönderildiği kişilerle irtibata geçilip aktarılan kişisel verilerin imha edilmesinin talep edildiği,
İlgili kişilerin veri sorumlusuna yaptıkları başvuruya, "...ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan personelin PCR testi yaptırması gerektiği yönünde e-posta atılmış fakat e-posta ekinde sehven Excel dosyası da gönderilmiştir. İlgili e-postada yer alan kişiler üniversitemiz bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleridir. Tarafınızca yapılan başvuru neticesinde fark edilen bu olay ile ilgili olarak; ilgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve eki ilgililerden silinmiştir." şeklinde yanıt verildiği,
Ancak, şikâyete konu e-posta gönderisinden önceki bir e-posta gönderisinde de ilgili kişilere ve üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile alenileştirildiği, dolayısı ile işlemin sehven yapılmış olması olanağının bulunmadığı

belirtilerek veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

Veri sorumlusu üniversitenin rektörü tarafından yapılan duyurularda, Covid-19 ile ilgili olarak üniversite tarafından alınan tedbirler çerçevesinde tüm personele aşı olmasının tavsiye edildiği, aşı olmayan personelin de haftada iki kez PCR testi yaptırması gerektiğinin bildirildiği, ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan kişilerin PCR testi yaptırması gerektiği yönünde e-posta gönderildiği,
E-posta ekinde sehven bir Excel dosyası da gönderildiği, ilgili e-postada yer alan kişilerin üniversitenin bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleri olup üçüncü kişi konumunda olmadığı,
Sehven gönderilen Excel dosyasında da T.C. kimlik numaralarının sadece son üç rakamı, kurumsal e-posta adresleri, varsa özel e-posta adresleri, telefon numaraları ve iş sağlığı ve güvenliğinin sağlanmasını teminen PCR ve aşı takibinin yapılabilmesi için HES durumlarının yer aldığı,
İlgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve ekinin ilgililerden imha edildiği ve bu durumun tutanak altına alındığı,

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/928 sayılı Kararı ile;

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
“Özel Nitelikli Kişisel Verilerin” ise Kanun’un 6’ncı maddesinde düzenlendiği ve maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hükme bağlanmış olmakla birlikte söz konusu verilerin yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği,
Kanunun “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin (1) numaralı fıkrasının kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı, (2) numaralı fıkrasının, kişisel verilerin; (a) 5’inci maddenin ikinci fıkrasında, (b) yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği ve (3) numaralı fıkrasının da kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümlerini amir olduğu,
İlgili Kişilere gönderilen e-posta içeriği ve söz konusu Excel dosyası incelendiğinde, tabloda çalışanlara ait olduğu tahmin edilen ve yalnızca kendileri tarafından bilinebilecek olan cep telefonu numaraları, e-posta adresleri, adres bilgileri, HES kodları, aşı bilgileri, risk durumu bilgileri gibi kişisel ve özel nitelikli kişisel verilerinin açık bir şekilde yer aldığı,
Bununla birlikte, şikâyete konu e-postaya ilişkin ekran görüntüsünden, gönderinin alıcı kısmında ilgili kişilere ait e-posta adresleri ile beraber üçüncü kişilere ait e-posta adreslerinin yer aldığı görüldüğünden söz konusu tablonun üçüncü kişiler ile paylaşılması hususunun söz konusu ekran görüntüsü ile sabit olduğu,
Öte yandan, veri sorumlusu e-posta ekinde sehven bir Excel dosyası gönderildiğini belirtmiş olsa da ilgili kişiler adına Kurum’a iletilen şikâyet dilekçesi ve ekleri incelendiğinde söz konusu e-postanın gönderilmesinden önce ilgili kişiler ile birlikte üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile paylaşıldığı görülmüş olup, sehven gönderilme gibi bir durumun kabul edilemeyeceği,
Diğer yandan, söz konusu e-postanın üniversitenin çalışanları ve idari amirlerine gönderilmesi ile çalışanların aşı bilgileri, risk durumu vb. verilerinin paylaşılmasının, kişisel verilerin üçüncü kişiler ile paylaşılması anlamına geleceği ve şikâyete konu verilerin imha edilmesi hususu veri sorumlusu tarafından cevap yazısı ekinde yer verilen İmha Tutanağı ile tevsik edilmiş olmakla birlikte, söz konusu verilerin yer aldığı e-posta ve ekinin, e-posta gönderilen ilgililerden imha edilmesinin veri ihlalini ortadan kaldırmayacağı

değerlendirmelerinden hareketle;

Veri sorumlusu üniversite rektörü tarafından ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerin yer aldığı Excel dosyasının e-posta ekinde yer verilerek üçüncü kişilerle paylaşılmasının Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın gerçekleştirildiği, bu kapsamda Veri sorumlusunun Kanunun 12’nci maddesinin birinci fıkrasının (b) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı,
Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği

kanaatine varılması nedeniyle Kanunun 18’inci maddesinin üçüncü fıkrası kapsamında kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılarak sonucundan Kurul’a bilgi verilmesine,

Diğer taraftan, bundan sonraki süreçte gerçekleşmesi muhtemel veri ihlallerine ilişkin olarak Kanun’un 12’nci maddesinin (5) numaralı fıkrası çerçevesinde Kurul’a bildirimde bulunulması gerektiği ve ayrıca Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlara uygun olarak işlem yapılması gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir.

01.06.2023: “Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi"

Karar Tarihi	:	01/06/2023
Karar No	:	2023/924
Konu Özeti	:	Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi

Kurum’a intikal eden şikayette özetle;

Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı

hususları ifade edilerek 6698 sayısı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu otopark işletmecisinden savunması istenilmiş olup alınan cevabi yazıda özetle;

Araçlarını kendilerinin işlettiği park alanlarına park edip ödeme yapmayan borçlular hakkında icra takibi başlatıldığı, ilgili kişiye de bu kapsamda icra takibi başlatıldığı, takibe itiraz edilmesi üzerine itirazın iptali davası açıldığı,
İlgili kişiye ait kişisel verilerin Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
İlgili kişinin aracını, 27.08.2019-20.01.2022 tarihleri arasında kendilerince işletilen yol üstü otopark alanlarına park etmesi ile taraflar arasında sözleşmenin kurulduğunun kabul edilmesinin gerektiği,
İlgili kişinin de sözleşmenin bir tarafı olmasından dolayı Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendi kapsamında ve yalnızca borcun tahsiline yarayacak verilerin işlenmesinde Kanun’a aykırılık bulunmadığı,
Kanun’un “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”nı düzenleyen 5’inci maddesinin ikinci fıkrası (e) bendi kapsamında, aracın fotoğraflarının çekilmesinin ilgili kişiye açılan itirazın iptali davasında iddia edilen alacak tutarının belirlenmesine, aracın şirketlerince işletilen yol üstü otopark alanlarında hangi gün kaç saat park edildiğinin tespit edilmesine yönelik olduğu, ilgili aracın kendilerince işletilen otopark alanlarına park edildiğinin taraflarınca ispat edilememesi durumunda davalarının reddedildiği,
Park edilmeye ilişkin fotoğrafların, genel hükümlere göre ve otopark ücreti alacaklarının tahsiline yönelik mahkeme kararı kesinleştikten sonraya ve şirketleri aleyhine açılabilecek diğer davaların zamanaşımı veya hak düşürücü süreleri sona erinceye kadar muhafaza edildiği/edileceği,
İlgili kişiye ait ruhsat bilgilerinin kendilerinde mevcut olmadığı, borcu bulunan araç plakasının park edilme tarihi itibariyle kim adına kayıtlı olduğunun ilgili makamlardan tespit edilmesinin, araç plakası üzerine kayıtlı bulunan kişinin ruhsat bilgilerinin kendilerince bilindiği ve işlendiği anlamına gelmediği,
Araç plakasının alenileştirilmiş olması nedeniyle kendilerince ilgili kişiye aydınlatma yapma yükümlülükleri bulunmadığı kanaatinde olunduğu,
İlgili kişiye ait aracın ruhsat bilgilerinin değil, yalnızca araç plakasının borcun doğduğu tarihte kim adına kayıtlı olduğunun ilgili emniyet makamlarından ve Noterler Birliği’nden sorulduğu, bu bilgiler ilgili makamlara sorulurken 4982 sayılı Bilgi Edinme Kanunu, avukat ile yürütülen işlemler bakımından Avukatlık Kanunu’nun 2’nci maddesi ve Kanun’un 5’inci maddesinin ikinci fıkrası hükümlerine dayanıldığı,
Araç plakası sorgulanmak suretiyle borç bilgisinin öğrenilebildiği internet adresinin kendilerinin kullandığı ve borçluların da kullanımına açık olan bir altyapı olduğu, adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği ve ödeme yapmak isteyenlerin yine aynı sitede belirtilen hesaba ödeme yapabildiği

ifade edilmiştir.
Konuya ilişkin yapılan yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/924 sayılı Kararı ile;

Kanun’un 5’inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünün düzenlendiği,
Araç sahibine ilişkin bilgilere ulaşılması bakımından, mutlaka aracın ruhsat bilgilerinin bilinmesinin gerekmediği, araç plakası ile yetkili makamlardan yapılacak sorgulama neticesinde de araç sahibine ilişkin bilgilere ulaşmanın mümkün olduğunun herkesçe bilinen bir durum olduğu, ilgili kişinin kendisine ait ruhsat bilgilerinin ele geçirildiği iddiasının tevsik edici bir bilgi ya da belgeye dayandırılmadığı,
Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının, bu amaçla ilgili kişinin kişisel verilerinin, ilgili kişiye ait araç plakasının ilgili makamlardan sordurulmak suretiyle kimlik bilgilerine ulaşılarak işlenmesinin, veri sorumlusunun sözleşmeden kaynaklanan haklarını kullanabilmesi için zorunlu olduğu, bu kapsamda söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kapsamında kaldığı,
6100 sayılı Hukuk Muhakemeleri Kanunu’nun (6100 sayılı Kanun) “Dava dilekçesinin içeriği” başlıklı 119’uncu maddesinin birinci fıkrasının (f) bendinde “İddia edilen her bir vakıanın hangi delillerle ispat edileceği hususlarının dava dilekçesinde bulunacağı” hükmünün, “Tarafların belgeleri ibrazı zorunluluğu” başlıklı 219’uncu maddesinin birinci fıkrasında “Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadırlar. Elektronik belgeler ise belgenin çıktısı alınarak veya talep edildiğinde incelemeye elverişli şekilde elektronik ortama kaydedilerek mahkemeye ibraz edilir.” hükmünün, “Delillerin ikamesi” başlıklı 318’inci maddesinde ise “Taraflar dilekçeleri ile birlikte, tüm delillerini açıkça ve hangi vakıanın delili olduğunu da belirterek bildirmek, ellerinde bulunan delillerini dilekçelerine eklemek ve başka yerlerden getirilecek belge ve dosyalar için de bunların bulunabilmesini sağlayan bilgilere dilekçelerinde yer vermek zorundadır.” hükmünün düzenlendiği,
Anılan hükümler doğrultusunda, veri sorumlusu otopark işletmecisinin ilgili kişi ile aralarında kurulmuş olan sözleşmeden doğan alacağını tahsil edebilmek amacı ile açtığı itirazın iptali davasında, iddiasını ispatlayabilmesi için iddianın dayanağı olan delilleri mahkemeye sunmasının zorunlu olduğu, söz konusu ihtilaf park borcundan kaynaklanan alacağa ilişkin olduğu için, veri sorumlusunun ispat etmesi gereken hususların ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarına park edip etmediği, bu alanlara park etti ise ne kadar süre ile park ettiği hususları olduğu, bu kapsamda, veri sorumlusunun anılan hususları ispatlamasının ancak aracı, park edildiği yer ve tarih görünecek şekilde fotoğraflaması ile mümkün olduğu, veri sorumlusu tarafından gerçekleştirilen aracın fotoğraflarının çekilerek dava dosyasına sunulması suretiyle kişisel veri işleme faaliyetinin, Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında kaldığı,
Kurum’a intikal ettirilen bilgi ve belgelerden veri sorumlusu tarafından adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği bir sayfa olarak ifade edilen internet adresinde, başka herhangi bir ek bilgi gerekmeksizin bir araç plakası ve araç plakasının yazıldığı kutucuğun hemen yanında yer alan doğrulama sayıları ile yapılan sorgulama neticesinde, söz konusu araç plakasına ait borç bilgisine ulaşılabildiği, araç plakasının ait olduğu kişi bilindiğinde yahut öğrenildiğinde, söz konusu uygulamanın, araç sahiplerinin borç bilgilerine rahatlıkla ulaşma imkanı verdiğinin tespit edildiği,
Kurum tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”nde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanmasının, güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığı, bu itibarla kişisel verilere uzaktan erişilmesi halinde üçüncü kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılmasının gerekli olduğu, örneğin kişinin T.C. kimlik numarası ve doğum günü bilgisinin sorgulanarak bilgilere erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin T.C. kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemlerin iki kademeli doğrulama olarak kabul edildiği,
Bu çerçevede, borç sorgulama gibi internet sayfaları aracılığıyla çevrimiçi olarak sunulan hizmetler kapsamında Kanunun 12’nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulama T.C. kimlik numarası, ad soyadı, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesinin, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne-baba adı, sicil numarası gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı,
Somut olay bakımından, yalnızca araç plakası ile gerçekleştirilen tek kademeli sorgulamanın, ikinci kademede kişiye özel olarak belirlenecek bir bilgi ya da SMS veya e-postaya iletilen bir şifre gibi bir sistem ile yapılabilecek şekilde düzenlenmesi gerektiği veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesinin uygun olacağı,
Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünün yer aldığı,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesine göre ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmesi gerektiği, Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü yalnızca 28’inci maddenin birinci fıkrasında düzenlenen tam istisna ve ikinci fıkrasında yer alan kısmi istisna hallerinin bulunduğu durumlarda kaldırdığı düşünülürse somut olay bakımından veri sorumlusunun aydınlatma yükümlülüğünün mevcut olduğu, Tebliğ’in aynı maddesinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun düzenlendiği, bu nedenle, somut olayda ilgili kişiye ait kişisel verilerin işlenmesi bakımından ilgili kişiye aydınlatma yapma yükümlülüğü bulunan veri sorumlusunun, bu yükümlülüğünü yerine getirmediği,

değerlendirmelerinden hareketle;

İlgili kişinin araç plakası sorgulatılarak kimlik bilgilerine ulaşılması ve ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarında fotoğrafının çekilerek bu fotoğrafların ilgili kişi ile veri sorumlusu arasında görülen dava dosyasına sunulması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendi kapsamında olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem olmadığına,
İşlediği kişisel veriler bakımından Kanunun 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
Otopark kullanıcılarına ilişkin olarak Aydınlatma Yükümlülüğünün yerine getirilmesine yönelik Kanun ve Tebliğ’e uygun olarak ve kişisel verilerin hangi durumlarda işleneceği bilgisine yer verilmek suretiyle Aydınlatma Metni hazırlanması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
İlgili kişi de dahil olmak üzere veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulmuş internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilmesi mümkün ise bu şekilde kullanıcılara sunulması veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesine

karar verilmiştir.

28.09.2023: “Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi"

Karar Tarihi	:	28/09/2023
Karar No	:	2023/1653
Konu Özeti	:	Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kuruma intikal ettirilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusuna ait mağazadan alışveriş yaptığı, bu alışveriş esnasında kendisine alışveriş kartı isteyip istemediğinin sorulduğu, kartı istemesi üzerine telefonuna onay kodu gönderildiği, ilgili kişinin önce onay kodunu görevliye okuduğu, sonrasında ise o onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği belirtilerek söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği ve her ne kadar ilgili kişinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Veri sorumlusunun mağazalarında alışveriş kartı adı altında bir kart uygulaması bulunmadığı, ilgili kişinin belirttiği kartın "hediye kartı" olduğu, hediye kartının yalnızca mağazalardan ürün iadesi gibi durumlarda ücretin bu karta yüklenmesi veya müşterilerin kendi isteği ve talebi doğrultusunda karta yükleme yapılması çerçevesinde münhasıran veri sorumlusu nezdinde ürün satın alınmasında kullanılabildiği, hediye kartlarının hamiline ait olduğu, kişiye özel olmadığı için bir üyelik, kaydolma ve benzeri gibi bir zorunluluk olmaksızın satıldığı ve tamamen müşterinin bu kartı kullanmayı istemesi üzerine hazırlandığı, hediye kartlarının verilmesi kapsamında müşterilerden hiçbir konu ve veri işleme faaliyeti bakımından zorunlu açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve ilgili kişilerin çeşitli yöntemlerle bu aydınlatma metnine ulaşmasının sağlandığı (doğrudan basılı metin, QR ile okutma ve internet sitesi adresi linki ile ulaşma), kasaya gelen müşterilere kolay iade/değişim kapsamında daha öncesinde kayıt olup olmadığının sorulduğu, eğer müşteri kayıtlı değilse; müşteriye kasalarda konumlandırılan Aydınlatma Metni ve "Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?" metninin okunduğu (bu metnin hem kasada bilgilendirme föyü olarak yer aldığı hem de kasa personeli tarafından sesli biçimde her bir müşteriye okunduğu), müşteri kayıt olmak ister ise, müşterinin kendi cep telefonundan “İZİN AD SOYAD” yazarak ilgili numaraya SMS göndermesi gerektiği, diğer bir deyişle, kişilerin yerine kayıt yapılamadığı, söz konusu adım olmaksızın mesaj gönderimi sağlanamadığı, müşteri tarafından gönderilen mesajın üzerine müşteriye SMS ile şifre gönderildiği, şifrenin yer aldığı mesaj içerisinde aydınlatma metni ve açık rıza beyanı dahil olmak üzere gerekli tüm bilgilere yer verildiği ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1653 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi”nin; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ç) bendi uyarınca “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişi”, (ı) bendi uyarınca “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hüküm altına alındığı,
"Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”nda özetle, mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması, ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması hususlarına dikkat çekildiği,
“Açık rıza” kavramının Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.” olarak tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı,

değerlendirmelerinden hareketle;

Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilimiştir.

25.05.2023: “İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesi"

Karar Tarihi	:	25/05/2023
Karar No	:	2023/892
Konu Özeti	:	İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesini konu şikâyet hakkında

Kuruma intikal eden şikâyette özetle;

Kişisel verilerinin KOOPBİS’e (Kooperatif Bilgi Sistemi) hukuka aykırı olarak işlendiği,
Kooperatif ortaklığından, Kooperatife sunduğu ihtarname ile ayrılmış olmasına rağmen Kooperatif tarafından kendisine genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edildiği,
Kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunun (Kanun) 7’nci maddesine uygun olarak imha edilmesi talebinin yerine getirilmediği,
İlgili kişi tarafından veri sorumlusuna yapılmış olan başvuruya süresi içinde cevap verilmediği

belirtilerek Kooperatif hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Kooperatif kurulduktan ve kuruluş amacına ulaşıldıktan sonra kat mülkiyeti kurulamaması nedeniyle site içinde gerekli hizmetlerin verilmesi amacıyla İşletme Kooperatifine geçiş yapıldığı,
Kooperatifin olağan genel kurulunda seçilen yönetim kurulu üyelerinin arka arkaya görevden istifa ettikleri,
Yönetim Kurulu üyesi olan ilgili kişinin de bu süreçte istifa ettiği, ilgili kişinin de istifasıyla Kooperatif yönetiminin sahipsiz bırakıldığı,
İlgili kişinin istifa ettiği tarihte Yönetim Kurulunda halihazırda Yönetim Kurulu üyesi olan kişilerin bulunmadığı, ayrıca gelen giden defter kayıtlarında ilgili kişinin Kooperatif ortaklığından ayrıldığını belirten dilekçeye rastlanılmadığı, bu hususun ilgili kişiye verilen cevapta belirtildiği,
Halihazırdaki Yönetim Kurulunun göreve geldiği tarihten cevabi yazı tarihine kadar KOOPBİS sistemine geçiş yapılmadığı,
Daha sonra düzenlenecek Olağan Genel Kuruldan yetki alınarak KOOPBİS sistemine geçiş yapılmasının planlandığı,
Kooperatif Yönetim Kurulu’nun toplanarak ilgili kişiyi Kooperatif ortaklığından çıkarttığı ve söz konusu hususun ilgili kişiye tebliğ edildiği; bu çerçevede artık ilgili kişiye Genel Kurul davetiyesi ile Genel Kurul kararlarının gönderilmeyeceği,
Kooperatif ortaklarının bilgilerinin üçüncü kişilerle kesinlikle paylaşılmadığı, tebligatların sadece ilgili ortağın kendisine gönderildiği

ifade edilmiştir.

Şikâyete ilişkin başlatılan inceleme çerçevesinde Ticaret Bakanlığı Esnaf, Sanatkârlar ve Kooperatifçilik Genel Müdürlüğünden bilgi ve belge talebinde bulunulmuş olup Bakanlık tarafından verilen cevapta özetle;

21/10/2021 tarihli ve 7339 sayılı Kooperatifler Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunla, 1163 sayılı Kooperatifler Kanunu'na (Kooperatifler Kanunu) eklenen hükümler doğrultusunda yasal çerçevesi çizilen “Kooperatif Bilgi Sistemi”nin; 14 Ocak 2022 tarihli ve 31719 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Kooperatif Bilgi Sistemi Yönetmeliği” kapsamında 26.10.2022 tarihinde “koopbis.ticaret.gov.tr” alan adı ile hizmet verecek şekilde kurulduğu,
Bu süreçte “koopbis.gtb.gov.tr” alan adında hizmet sunan, 2015/1 sayılı Genelge çerçevesinde idari kayıtların tutulduğu eski KOOPBİS kayıtlarının yeni sisteme aktarıldığı, eski KOOPBİS’in veri girişlerine ve internet erişimine kapatıldığı, yeni sistem üzerinde de veri aktarım ve yetkilendirme çalışmaları devam ettiğinden güncel ortaklık verilerinin kooperatifler tarafından sisteme işlenmesine henüz başlanılmadığı,
Kooperatif Bilgi Sistemi verilerinde yapılan inceleme sonucunda; ilgili kişinin halihazırda ortak statüsü ile Kooperatif ortağı olarak sistemde kayıtlı olduğu, ilgili kişinin yönetim kurulu eski üyeleri arasında kayıtlı olduğu,
İlgili kişinin Kooperatif ortaklık kaydı ve yönetim kurulu üyelik kaydının tarihinin Ankara Ticaret İl Müdürlüğü'nde görevli memur tarafından sisteme işlendiği,
Kooperatif ortaklığı ve Yönetim Kurulu üyelik kaydının yine Ankara Ticaret İl Müdürlüğü'nde görevli memur tarafından sisteme işlendiği,
Veri kayıt tarihlerinde yürürlükte olan 2015/1 sayılı Genelge'nin ekinde yer alan usul ve esasların I-7’nci maddesi çerçevesinde kooperatifin organ üyelerinin kayıtlarının ticaret il müdürlüğü personelleri tarafından gerçekleştirildiği, aynı usul ve esaslar doğrultusunda ortak verilerinin işlenmesinden ve güncel tutulmasından kooperatif yönetim kurullarının sorumlu olduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 25/05/2023 tarihli ve 2023/892 sayılı Kararı ile;

KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığı,
1163 sayılı Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesinin “Yönetim kurulu, anasözleşmeye uygun olarak yapılacak isteğe rağmen, bir ortağın kooperatiften istifasını kabulden kaçınacak olursa, ortak çıkma dileğini noter aracılığı ile kooperatife bildirir. Bildiri tarihinden itibaren çıkma gerçekleşir.” hükmünü amir olduğu; bu çerçevede ilgili kişinin talebi üzerine Noterlik tarafından gönderilen evrak, Kooperatife yapmış olduğu ihtarname ile 1163 sayılı Kooperatifler Kanunu’nun 13’üncü maddesi uyarınca ilgili kişinin Kooperatif ortaklığının sona erdiğinin anlaşıldığı, ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği,
İlgili kişinin kişisel verilerin imha edilmesi talebinin yerine getirilmediği iddiası bakımından Kooperatife ait internet sitesinde ortakların sahip olduğu payları ve ortakların adını ve soyadını gösterir şemaya yer verildiği görülmüş olmakla birlikte, Kurul Kararı tarihi itibariyle söz konusu erişim adresinde yer alan şemadan ilgili kişinin adının ve soyadının kaldırıldığının görüldüğü,
Kanunun “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasına göre ilgili kişinin, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, mezkûr hükmün (2) numaralı fıkrasına göre ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı dikkate alındığında veri sorumlusunun ilgili kişinin başvurusuna süresi içinde cevap vermediğinin görüldüğü,

değerlendirmelerinden hareketle,

Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesi hükmü gereği ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarına dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
İlgili kişinin kişisel verilerinin Kanun’un 7’nci maddesine uygun olarak imha edilmesi talebinin veri sorumlusu tarafından yerine getirilmiş olması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusunun ilgili kişinin başvurusunu Kanunun 13’üncü maddesinin (2) numaralı fıkrasında belirtilen otuz günlük süre içerisinde sonuçlandırmamış olduğu görüldüğünden ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına,
KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığına

karar verilmiştir.

25.Mayıs.2023: “Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması”

Karar Tarihi	:	25/05/2023
Karar No	:	2023/890
Konu Özeti	:	Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması

Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu hava yolu şirketinin özel yolcu programında biriken millerini görmek için internet sitesine giriş yaptığı; ancak söz konusu özel yolcu programı hizmetlerinden yararlanabilmesi için profildeki zorunlu alanların doldurulması ve kişisel verilerinin kendisine özel ürün ve hizmetler oluşturulması ile tanıtılması için pazarlama faaliyetlerinde kullanılmasının kabul edildiğine ilişkin kutucuğun işaretlenmesi gerektiği; şayet ilgili kutucuk işaretlenmezse söz konusu sistemin ilerlemesine izin vermediği belirtilmiş olup Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Anılan özel yolcu programının yolcu sadakat programı olduğu, veri sorumlusunun esas faaliyetlerinden faydalanılması için özel yolcu programı üyeliğine ihtiyaç bulunmadığı, bu program ile yalnızca üyelere muhtelif ayrıcalık ve imkanlar sunulduğu,
İlgili kişinin biriken millerine ilişkin bilgilerini öğrenebilmesi için söz konusu onay verme mekanizması ile arasında bir bağlantı bulunmadığı, üyelik sayfasında çıkan aydınlatma metni ve açık rıza metni kutularına tıklanmaksızın da millere ilişkin verilerin görülebildiği, ayrıca biriken millerin çağrı merkezi, web sitesi geri bildirim formu veya doğrudan satış ofisleri gibi pek çok ayrı kanal üzerinden de herhangi bir engelle karşılaşmadan öğrenilebildiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 25/05/2023 tarih ve 2023/890 sayılı Kararı ile;

Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği, programın üyelerine yalnızca ek imkanlar sağladığı,
Somut olayda hediye millerin görüntülenmesi şikâyete konu edilmiş olup, yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu; üyeliğin ise ilgili kişinin açık rızası ile oluşturulabildiği,
Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının Avrupa Birliği mevzuatında da açıkça kabul edildiği; nitekim, Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Kararında da “Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği”nin değerlendirildiği,
Bu bağlamda özel yolcu programına katılımının ilgili kişinin kişisel verilerinin işlenmesine göstereceği açık rızaya bağlanmasının “açık rızanın özgür irade ile verilmesi” ne engel olmayacağı ve biriken millerin görüntülenmesinin açık rıza şartına bağlı olmadığı ve pek çok alternatif yol aracılığıyla program kapsamında biriken millerin görüntülenebildiği görüldüğünden söz konusu olayda açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı

değerlendirmelerinden hareketle;

Şikâyete konu olayın açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

18.Mayıs.2023: “Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi”

Karar Tarihi	:	18/05/2023
Karar No	:	2023/845
Konu Özeti	:	Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

Kuruma intikal eden şikayette özetle; bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş alınan cevabi yazıda özetle;

Yaşanan olayda eylemi gerçekleştirdiği belirtilen şahsın şirketin çalışanı ve/veya tedarikçisi olmadığı, şirket ile arasında hiçbir hukuki bağın bulunmadığı,
Şirketin faaliyeti kapsamında; mevzuatın uygun gördüğü şekilde üçüncü şahıslar ile akdettiği iş birliği sözleşmeleri uyarınca, taşıma işinin bir kısmını tedarikçi üçüncü şahıslar ile yürütebildiği,
Parça başı tedarikçilerin büyük çoğunluğunun "DDN" isimli e-ticaret gönderilerinin daha hızlı ve etkin bir şekilde dağıtılmasını amaçlayan birimlerde çalıştığı, özellikle dağıtımın yoğun olduğu dönemlerde ihtiyaç olan birimlerde parça başı dağıtımcılar vasıtası ile dağıtım ve teslimatın yaptırıldığı,
Çalışan tüm parça başı araçlar ve sürücülerin şirket sistemlerine eklendiği, gerekli tüm evraklarının sisteme kaydedildiği ve süreç içerisinde uymaları gereken kuralların net şekilde anlatıldığı,
Söz konusu olayın parça başı dağıtım araçlarından birisinde yaşanan sorun nedeniyle şirketin bilgisi ve onayı dışında, parça başı dağıtım tedarikçisi ve/veya tedarikçinin dağıtım ve teslimat hizmetleri için görevlendirdiği şoförünün talimatı ile dağıtıma destek için getirilen üçüncü bir kişinin sebep olduğu bir vakıa olduğu,
İlgili kişinin kişisel verilerinin şirket kayıtlarına işlenmesinin sebebinin şirketten taşıma hizmeti alması olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad-soyadı/adres/iletişim bilgilerinin şirket kayıtlarına işlenmesinin gerektiği, aksi takdirde hizmetin doğru şekilde verilebilmesinin mümkün olmadığı, bu nedenle de ilgili kişinin ad, soyadı ve iletişim bilgilerinin toplandığı ve işlendiği,
Her bir taşıma için Vergi Usul Kanunu gereği gönderici ve alıcının kişisel bilgilerini ihtiva eden taşıma faturası/irsaliyesi tanzim edildiği, 6102 sayılı Türk Ticaret Kanunu gereği ise bu fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu, yasal saklama süreleri sona eren kayıtlar ve kişisel verilerin mevzuata uygun bir şekilde imha edildiği,
Şirketin personeli veya tedarikçisi olmayan şahsın sebep olduğu bu olayı takiben teslimatta asıl görevli olan parça başı tedarik hizmet alınan kişi ile çalışmanın sonlandırıldığı,
Şirketin faaliyetlerini son derece özveri ile yürüttüğü, işçilere ve tedarikçilerine, hizmet kalitesi, kişisel veri, gizli bilgi ve veri güvenliğinin sağlanması için gerekli bilgilendirmeleri ve hatırlatmaları yaptığı,
Benzer olayların tekrar yaşanmaması için yeni idari ve teknik tedbirlerin alındığı, bu kapsamda da tedarikçilerin, müşterilerin telefon numaralarına ulaşımını kısıtlamak adına barkod etiketleri üzerinde yer alan telefon numarasının maskelendiği

ifade edilmiştir.

İlgili kişi tarafından Kuruma iletilen belgelerden, söz konusu olaya ilişkin eylemi gerçekleştiren kurye hakkında 5237 sayılı Türk Ceza Kanunu hükümlerine uyarınca şikayette bulunulduğu ve ceza yargılaması neticesinde şahsın cezalandırıldığı tespit edilmiştir

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2023 tarihli ve 2023/845 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme şartıyla, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; Kanunun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun hükme bağlandığı,
İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlendiği iddiası bakımından yapılan incelemede, 6098 sayılı Türk Borçlar Kanunu 66’ncı maddesinde “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran, çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.” hükmünün mevcut olduğu,
4857 sayılı İş Kanunu 2’nci maddesinin 6 ve 7’nci fıkralarında, “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz. Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt işverenlere verilemez.” hükümlerinin mevcut olduğu,
Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğunun değerlendirildiği, buna rağmen veri sorumlusu vekili tarafından Kuruma iletilen cevap yazısından, söz konusu olayı gerçekleştiren ve olayın gerçekleştiği sırada veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşıldığı,
Eylemi gerçekleştiren şahsın ceza yargılaması esnasında verdiği ifadeler incelendiğinde veri sorumlusu bünyesinde geçici olarak çalıştığı beyanının bulunduğunun tespit edildiği, buna rağmen veri sorumlusunun kurye ile aralarında herhangi bir hukuki ilişkinin bulunmadığı beyanının gerçeği yansıtmadığı ve veri sorumlusu tarafından şahsa gerekli eğitimlerin verilmediği ve kişisel verilerin korunması ile ilgili herhangi bir bilgilendirmenin de yapılmadığı kanaatine varıldığı,
İlgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi bakımından yapılan incelemede, Kanunun 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi ve veri sorumlusunun tabii olduğu ilgili mevzuat hükümleri uyarınca ilgili kişiye ait kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma hizmeti olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı Türk Ticaret Kanunu gereği fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

11.Mayıs.2023: “Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayımlanmak suretiyle işlenmesi”

Karar Tarihi	:	11/05/2023
Karar No	:	2023/767
Konu Özeti	:	Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayınlanmak suretiyle işlenmesi

Kuruma intikal eden şikâyette özetle;

İlgili kişilerin özel bir hastaneden sağlık hizmeti aldıkları, tedavi sırasında yaşanan olumsuzluklar nedeniyle tedavi işlemini yapan doktor hakkında Sağlık Bakanlığına, Cumhuriyet Başsavcılığına ve ihtarname göndermek suretiyle hastaneye şikâyette bulundukları, tedavi tarihinden iki ay sonra yüksek tirajlı bir gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği, haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı kanaatinde oldukları,
Gazetenin internet sitesinden ve basılı neşriyatından yayımlanmak suretiyle yapılan paylaşımın birçok haber sitesinde de yayımlandığı, taraflarınca 5651 sayılı Kanun kapsamında gerekli başvuruların yapıldığı ve haber içeriklerinin yayından kaldırıldığı ancak bazı internet sitelerinde haberin yayımlanmaya devam ettiği,
Kişisel ve özel nitelikteki kişisel verilerinin hukuka aykırı olarak ülke çapında yayılması nedeniyle veri sorumlusuna başvurulduğu ancak verilen cevabın yetersiz kaldığı, ilgili kişiler tarafından hastaneye gönderilen ve özel nitelikli kişisel verileri ihtiva eden noter ihtarnamesinin kimden, nerede, ne zaman ve nasıl ele geçirildiği hususunda kendilerine bir açıklama yapılmadığı,
Doktor ve hasta arasında gizli kalması gereken özel nitelikli kişisel verilerin gazetenin eline geçmesinin hukuka aykırı olduğu, bu durumun ifade özgürlüğü ve basın hürriyeti gibi kavramlara dayandırılarak hukuka uygun hale getirilemeyeceği, ifade özgürlüğünün sınırsız olmadığı, düşünceyi açıklama ve yayma hürriyeti ile basın hürriyetinin özel hayatın gizliliği ve korunması hakkından üstün olmadığı ve sınırlamalara tabi olduğu, , haberin verilmesinde kamusal yarar ve ilgi bulunmadığı, söz konusu tedavi sürecinin ve detaylarının kimseyi ilgilendirmeyeceği, gördükleri tedavi sürecinin detaylı şekilde haberleştirilmesinde kamu ilgi ve yararı olmayacağı, haberde ifade ve düşünce arasında düşünsel bağ olmadığı, sosyal medya üzerinden de hedef gösterildikleri, haberin yapıldığı gazetenin yazarı olan ve haberi sosyal medya hesabı üzerinden paylaşan gazetecinin paylaşımının altında iftira ve hakaret dolu pek çok yorum yapıldığı

belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

İlgili kişilerin başvurusuna verilen cevap ile işlemin gazetecilik, basın hürriyeti ve ifade özgürlüğü kapsamında yapılmış hukuka uygun bir veri işleme faaliyeti olduğunun açıklandığı,
İncelemeye konu olayın 5187 sayılı Basın Kanunu kapsamında bir habercilik faaliyeti olduğu ve konunun basın, medya ve gazetecilik ilkeleri ile mevzuatı da dikkate alınarak değerlendirilmesi gerektiği,
Yapılan haberin ifade özgürlüğü kapsamında haber niteliği taşıyabilmesinin, Anayasa Mahkemesi kararları, Yargıtay ve doktrinin istikrar bulmuş görüşleri uyarınca birtakım koşullara bağlı olduğu; bunların haberin gerçek ve güncel olması, verilişinde kamusal ilgi ve kamu yararı bulunması, düşünce ve ifade arasında düşünsel bağ bulunması şeklinde belirlendiği,
Gazetede yayımlanan haberin; özel hastanede bir doktor ile kamu görevlisi arasında yaşanmış bir tartışma olması özelliğiyle kamuoyuna sunulmasında kamuoyu ilgisi ve tarafların sıfatının verilmesinde kamu yararı olduğu gözetilerek yapıldığı, haber metninde gereksiz ve incitici bir dil kullanılmadığı, bu yönüyle olayın gerçek ve güncel olduğu,
Haberin ilgili kişi tarafından hastaneye gönderilen ihtarnamedeki iddialar ile olayın karşı tarafında bulunan kişinin bu iddialara karşı savunmalarına yer verilerek oluşturulduğu, haber metni hazırlanırken de özle biçim arasında dengenin korunduğu, zira sorumlu gazetecilik anlayışına uygun şekilde her iki tarafın iddia ve görüşlerine haberde yer verildiği, hukuka uygun nitelikteki haberin yayımlanmasının Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suça teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” gereği istisna kapsamına girdiği,
Kanun’un uygulanmayacağı istisna halleri içinde “kişisel veri” ve “özel nitelikli kişisel veri” ayrımına gidilmediği, özel nitelikli kişisel veri içeriyor olsa dahi yaşanan olay haber değeri taşıyorsa yayımlanmasının hukuka aykırılık teşkil etmediği,
Haberin hazırlanması, habere ilişkin kaynak ve bilgi toplanması aşamasının basın ve ifade özgürlüğü kapsamında değerlendirilmesi gerektiği; aksi takdirde Kanun’un 28’inci maddesindeki istisnanın bir anlamının kalmayacağı, henüz ifade bulmamış düşüncelerin hazırlık hareketlerinin, haberin oluşturulması aşamasının Kanuna dolaylı olarak dahil edilmesinin düşünce ve ifade özgürlüğü amacıyla sağlanan istisna kapsamını daraltacağı,
Gazetecilik faaliyetinin temel ilkeleri uyarınca, habere konu bilginin gazeteci tarafından teyit edilerek yayınlandığı ve gazetecinin kaynaklarını açıklamaya zorlanamayacağı, nitekim 5187 sayılı Basın Kanunu’nun 12’nci maddesinde “Süreli yayın sahibi, sorumlu müdür ve eser sahibi, bilgi ve belge dahil her türlü haber kaynaklarını açıklamaya ve bu konuda tanıklık yapmaya zorlanamaz” hükmünün yer aldığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarih ve 2023/767 sayılı Kararı ile;

Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında; “kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinin Kanun’un uygulama alanı bulmayacağı haller arasında sayıldığı,
Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için suç teşkil etmemek kaydıyla özel hayatın gizliliğini de ihlal etmemesi gerektiği,
Kişilik haklarına saldırı mahiyetinde olmayan haberin hukuka uygun olduğunun kabul edilebilmesi için; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, öz ile biçim arasındaki dengenin gözetilmiş olması gerektiği,
Kamu yararının tespitinde haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiği değerlendirilerek bir sonuca varılmasının uygun olacağı, toplumsal ilgi uyandıran, kamuoyunu düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlatılmasına ve çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğunun söylenebileceği; örneğin, yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararının bulunduğu; ayrıca kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağı, bir başka deyişle, siyasetçilerin ya da kamu görevini yerine getiren kimselerin bu görevleri dolayısıyla eleştirilebilirliklerinin sıradan bir vatandaşa göre çok daha geniş olduğu, zira bu alanlarda kamunun ortak menfaatinin söz konusu olduğu ve kamuoyunun olayları bilmesinin yanı sıra olayların yorumlanıp kendilerine fikir sunulmasına yönelik bir ihtiyacın da gündeme geldiği, ancak bu sayede sıradan vatandaşın gerek siyasetçilerin gerekse kamu görevlilerinin eylemleri hakkında bilgi sahibi olabileceği,
Haberin gerçekliğinin habere yahut eleştiriye konu olayın gerçek olmasını ifade edeceği, buradaki gerçeklikten maddi gerçekliğin değil görünür gerçekliğin anlaşılması gerektiği, bir başka deyişle, gerçeklik unsurunun somut gerçeğe değil, olayın, haberin verildiği andaki biçimine uygunluk olarak anlaşılması gerektiği, zira olayın maddi gerçekliğinin araştırılmasının beklenilmesinin basının önemli ölçüde kısıtlanmasına neden olacağı, bu açıdan haberi yapan kimsenin yükümlülüğünün doğruluk kanıtı sunması değil kabul edilebilir seviyede ön araştırmayı yapması ve haberin doğru olduğuna dair iyi niyetli yaklaşımının olması şeklinde ele alınması gerektiği, bu kapsamda basının haber yapmasını ve değerlendirmede bulunmasını imkânsız hale getirecek şekilde ispat zorunluluğu aranmasının basın özgürlüğü hakkının özünü zedeler nitelikte olacağı, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden kişilik hakkına üstünlük tanınması gerekeceği, bu noktada geçmişteki bir olayın gündeme getirildiği haberin hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerekmediği, örneğin bir milletvekili adayının daha önce bir suçtan mahkûmiyet aldığı yönündeki haberin güncellik unsurunu taşıdığının söylenebileceği,
Haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği, bir olayın açıklanmasında kullanılan dil ve sözcüklerin orta düzeydeki bir okuyucu üzerinde başka bir anlama gelecek şekilde yer almaması gerektiği, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulması halinde kişilik hakkı ile çatışan basın özgürlüğüne üstünlük tanınmasının mümkün olmayacağı, yayımlanan haber veya eleştiride kamuoyunu aydınlatma görevinin dışına çıkılarak sansasyon yaratma, küçük düşürme ve daha fazla tiraj sağlama gibi öznel amaçlarla kişinin onur ve saygınlığına saldırı teşkil eden aşağılayıcı ve lüzumsuz ifadelere yer verilmiş olması halinde haberin özü ile biçim arasındaki dengenin gözetilmediğini kabul etmek gerekebileceği, bu noktada haberin özü ile biçimi arasındaki denge unsuru değerlendirilirken haberin bütününün dikkate alınması gerektiği,
Diğer taraftan, ifade özgürlüğü ile kişilik haklarının çatışması halinde çatışan menfaatlerin dengelenip dengelenmediğini ve basın özgürlüğüne yapılan müdahalenin demokratik toplumda gerekli ve orantılı olup olmadığını belirlemeye yönelik olarak; basında yer alan yazı veya ifadelerin kamuoyunu ilgilendiren genel yarara ilişkin bir tartışmaya sağladığı katkı, hedef alınan kişinin tanınmışlık düzeyi ve yazının amacı, ilgili kişinin medyaya karşı önceden yaptığı davranışları, bilginin elde edilme yöntemi ve doğruluğu, yayının içeriği, biçimi, sonuçları ve yapılan haber dolayısıyla uygulanan yaptırımın ağırlığı kriterlerinin esas alındığı,
İncelemeye konu haberde; ilgili kişilerin isim ve soyadları, kamu görevlisi olduğu bilgisi, sağlık hizmeti almak üzere başvurdukları hastane adı, hizmet aldıkları doktorun adı, alınan sağlık hizmetinin detayları, ilgili kişiler ile doktor arasında yaşanan hadisenin detayları, tarafların birbirlerine sarf ettikleri iddia edilen sözler ve tarafların mahkemelik olduklarına dair kişisel verilere yer verildiği, özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin verilerin de bulunduğu, ilgili kişilerin kişilik hakları ile basın özgürlüğü arasında mezkûr kriterler kapsamında değerlendirme yapılması gerektiği,
Şikâyete konu haber gerçek ve güncel olma kriteri açısından değerlendirildiğinde haberin maddi gerçekliği yansıtmasa dahi görünür gerçeklik üzerinden haberleştirildiğinin anlaşıldığı ve haberin yayımlandığı tarih itibariyle güncellik kriterinin sağlandığı,
Hastanelerin kamusal alan olduğu ve buralarda meydana gelen adli olayların veya doktorlar ile hastalar arasında yaşanan hadiselerin haberleştirilmesinde kamu yararının mevcut olduğu, ilgili kişilerin kişisel verilerinin söz konusu olaya ilişkin bir haberde yer almasının kamu ilgi ve yararı taşıyabileceği, ayrıca ilgili kişilerden birinin kamu görevlisi olması nedeniyle kamu ilgi ve yararı kriterinin bu bakımdan da sağlanabileceği ancak kamu yararı taşıma kriterinin özle biçim arasındaki denge kriteri ile birlikte yeniden değerlendirilmesi gerektiği,
Özle biçim arasındaki denge unsuru bakımından; taraflar arasında yaşanan olayın, ilgili kişilerin özel hayatının gizliliğini ihlal edecek boyutta detaylar içerecek şekilde haberleştirildiği, olayın bir gazete haberinin gerektirdiğinden fazla detay ile anlatılmak istenen özden uzaklaşılarak verildiği, ilgili kişilerin sağlık sorununa ilişkin tüm detaylar, olayın meydana geliş sürecinde sarf edilen sözler, olayın hangi mekanlarda geçtiği gibi anlatılmak istenen özden uzaklaşmak suretiyle fazlaca detaya yer verildiği ve bu detayların ilgili kişilerin kişilik haklarını ihlal ettiği,
Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, söz konusu kişisel verilerin yayımlanmasının toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum olmadığı, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte olmadığı, aksine ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarını zedelediği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olmasının özle biçim arasındaki denge unsurunun sağlanamadığını gösterdiği,
Bu kapsamda, haberde yer alan kişisel veriler bakımından Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan istisna hükmüne dayanılamayacağı, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan geçerli bir işleme şartı mevcut olmaksızın kişisel verilerin işlenmiş olmasının Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu

değerlendirmelerinden hareketle;

Şikayete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının Kanun’un 12’nci maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu dikkate alındığında veri sorumlusu gazete hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

27.Nisan.2023: “Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması”

Karar Tarihi	:	27/04/2023
Karar No	:	2023/646
Konu Özeti	:	Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması

Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle; ilgili kişinin izin kullanma tarihlerinin, tüm diğer personel ile birlikte, belli, açık ve meşru amaçlar için işlendiği; ilgili kişinin, diğer personel gibi bir iş sözleşmesine dayalı olarak veri sorumlusu bünyesinde görev yaptığı, ancak personelce bu konuda gerekli hassasiyetin gösterilmediği görülmekte olduğundan ilgili personelin uyarılması maksadıyla verilerin paylaşıldığı, bu gibi durumlarda, kişinin rızası aranmaksızın kişisel verilerinin işlenebileceği, izinlerin kullanımıyla ilgili konuda ilgili kişiyi de kapsayan veri işlenmesinde hukuka aykırılık bulunmadığı, işlemin kurumsal disiplin ve düzen, verimlilik ve kamu yararı, yerleşik idari anlayış ve uygulamalara uygun bulunduğu ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2023 tarihli ve 2023/646 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin; “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “kişisel verisi işlenen gerçek kişi”, veri sorumlusunun ise; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
Bununla birlikte Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu,
Somut olayda, her ne kadar veri sorumlusunun cevap yazısında şikâyete konu kişisel veri paylaşımının izin kullanımı konusunda ilgili personelin uyarılması amacıyla Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak gerçekleştirildiği ifade edilmiş olsa da mezkûr işleme şartının ilgili kişinin izin durumuna ilişkin kişisel verilerinin veri sorumlusu bünyesinde çalışan diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği

değerlendirmelerinden hareketle,

Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

11.Nisan.2023: “İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi”

Karar Tarihi	:	11/04/2023
Karar No	:	2023/570
Konu Özeti	:	İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi

Kuruma intikal eden şikayette özetle; bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

Veri sorumlusunun kurduğu platform ile kripto para almak isteyenlerle satmak isteyenleri buluşturup aracılık yaptığı, kullanıcıların sitede hesap açmasının, “Temel Seviye” üyelik tipi ile başladığı, üyelik için hesap açarken adı, soyadı, T.C. kimlik numarası veya yabancı uyruklu olması halinde yabancı kimlik numarası ve uyruk, doğum tarihi, elektronik posta adresi ve cep telefon numarası kişisel verilerinin işlendiği, kullanıcıların bu üyelik tipi ile, Türk Lirası yatırma - çekme, alış-satış ve kripto para yatırma işlemi yapabildikleri,
Kullanıcıların kripto para çekme aşamasında “İleri Seviye” üyeliğe geçtikleri, bu üyelik tipinde site içerisinde bulunan başvuru sayfasından kimlik, sürücü belgesi veya pasaportunun bir görseli ile kimlik veya sürücü belgesinin ön yüzünün, arka yüzünün ve başvuranın yüzünün net göründüğü elinde kimlik veya sürücü belgesinin ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın ve fotoğrafının pasaport ile başvurularda, pasaportun ön yüzü ve pasaportun ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihi yazan bir kağıdın paylaşılmasının beklendiği,
Kripto varlık hizmet sağlayıcı olarak veri sorumlusunun, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in (Tedbirler Yönetmeliği) 4’üncü maddesi uyarınca suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla yükümlülüklerinin bulunduğu, ilgili Yönetmeliğin 6’ncı maddesi uyarınca ilgilinin; adının, soyadının, doğum tarihinin, T.C. kimlik numarasının ve kimlik belgesinin türü ve numarasına ilişkin bilgilerin doğruluğunun Türk uyruklular için T.C. nüfus cüzdanı, T.C. sürücü belgesi veya pasaport ile üzerinde T.C kimlik numarası bulunan ve özel kanunlarında resmi kimlik hükmünde olduğu açıkça belirtilen kimlik belgeleri üzerinden teyit edildiği,
“İleri Seviye” üyeliğe geçişin ölçülülük ilkesi ile paralel olarak yalnızca kripto para çekme işlemlerinde, kripto para transfer işlemlerinin tamamen anonim olarak yapılması nedeniyle ve Yönetmelik kapsamındaki yükümlülükler doğrultusunda gerekli tedbiri alabilmek üzere gerçekleştirildiği, bu işlemin gerçek kullanıcı tarafından yapıldığının teyit edilmesi amacıyla bu belgelerin talep edildiği, eğer kripto para çekme işlemi yapılmayacak ise bu verilerin paylaşılmasına gerek olmadığı hususları

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/04/2023 tarihli ve 2023/570 sayılı Kararı ile;

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin ikinci fıkrasının (a) bendinde “Kanunlarda açıkça öngörülmesi” hâlinde kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Veri sorumlusunun kripto para alım satım işlemleri yapılmasına aracılık etme faaliyetinde bulunması itibarıyla Kripto Varlık Hizmet Sağlayıcısı olarak 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 sayılı Kanun) ve buna dayanılarak çıkarılan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in “Yükümlü” başlıklı 4’üncü maddesinin 1’inci fıkrasının (ü) bendi kapsamında yükümlü olarak bu mevzuata tabi kılındığı,
5549 sayılı Kanun’un “Müşterinin tanınması” başlıklı 3’üncü maddesinde yükümlülerin, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorunda olduğuna işaret edildiği, kimlik tespitine esas belge nevilerini belirlemeye Bakanlığın (Hazine ve Maliye Bakanlığı) yetkili olduğu, kimlik tespitini gerektiren işlem türleri, bunların parasal sınırları ile müşterinin tanınmasına ilişkin ve konuyla ilgili diğer usûl ve esasların yönetmelikle belirleneceği,
Müşterinin tanınmasına ilişkin detaylı düzenlemelerin Tedbirler Yönetmeliği’nin 5 ila 26/A maddelerinde yer aldığı, Mali Suçları Araştırma Kurulu (MASAK) tarafından yayınlanan Kripto Varlık Hizmet Sağlayıcıları Rehberinde müşterinin tanınması yükümlülüğü kapsamında alınması gerekli en önemli tedbirin “kimlik tespiti” olduğunun belirtildiği, Yönetmelikte hangi işlemlerde ve ne şekilde kimlik tespiti yapılacağının detaylı bir şekilde açıklandığı, buna göre kimlik tespiti yapılması gerekli olan işlemlerin, işlem tutarına bağlı olanlar ve olmayanlar şeklinde sınıflandırıldığı, diğer taraftan “Faaliyetlerini Münhasıran Elektronik Ortamda Gerçekleştiren Yükümlüler” olarak kripto varlık hizmet sağlayıcılarının 5 No’lu Mali Suçları Araştırma Kurulu Genel Tebliği’nin 2.2.10 maddesinde belirtilen şartları tamamlamaları halinde Basitleştirilmiş Tedbirlere ilişkin hükümlerden yararlanabilmesinin mümkün olduğu, ancak bunun için ilgili maddede yer verilen şartların tamamlanmasının gerektiği,
Veri sorumlusunun sunduğu hizmetlerden hesap açılmak suretiyle yararlanılabildiği, hesap açılması esnasında kullanıcılardan T.C. kimlik numarası ya da yabancı kimlik numarası, isim, soy isim, cep telefonu, doğum tarihi ve elektronik posta adres bilgilerinin istenildiği, bu suretle açılan hesaplarda belli bir limite kadar işlem yapılmasının serbest olduğu, belli limitin üzerindeki işlemlerin gerçekleştirilebilmesinin kullanıcıların üyelik seviyesini yükseltmelerine yani İleri Seviye olarak nitelendirilen hesaba sahip olmalarını gerektirdiği, kullanıcıların üyeliğinin yükseltilebilmesi için ise T.C. kimlik belgesinin ön ve arka yüzü ile fotoğrafıyla beraber üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın fotoğrafını paylaşmalarının gerektiği, veri sorumlusunun faaliyet alanında suç gelirlerinin aklanması olarak nitelendirilen kara para aklama faaliyetinin gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğu,
Öte yandan ilgili kişinin kişisel verilerinin imha edilmesi talebine ilişkin olarak veri sorumlusuna başvurusunun incelenmesinden, kişisel verilerinin silinmesi-yok edilmesi yönünde bir talepte bulunmadığı, öte taraftan başvuruda bulunulan e-posta adresinin kişisel verilerin korunmasına yönelik taleplere özgülenmediği anlaşıldığından ilgili kişinin bahsi geçen talebine yönelik olarak Kanun ve Tebliğ’de yer verilen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna başvuru yolunu tüketmediği,

değerlendirmelerinden hareketle;

Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için kişisel verilerinin işlenmesinin Kanun’un 5’inci maddesinin 2’nci fıkrasının (a) bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı, diğer yandan ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin olarak ilgili kişinin bahsi geçen talebini Kanun ve Tebliğ’de belirlenen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna iletmediği, üyeliğinin devam etmesi nedeniyle kişisel verilerinin sözleşme kapsamında işlemeye devam edildiğinin anlaşıldığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

11.Nisan.2023: “Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması”

Karar Tarihi	:	11/04/2023
Karar No	:	2023/567
Konu Özeti	:	Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında

Kuruma intikal eden şikâyette özetle;

İlgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı,
Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı,
Öte yandan ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı

belirtilerek aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren şirketin, ödeme işlemlerinin tamamlanması amacıyla fatura adresi ve kredi/banka kartı bilgilerini (kart numarası, kart sahibinin adı, soyadı ve son kullanma tarihi) işlediği,
Herhangi bir hesap oluşturmadan ve müşteri olmadan internet sitesinde gezinebilmenin mümkün olduğu, müşterilerin hesap oluşturmadan önce ya da hesap oluşturma aşamasında herhangi bir şekilde cüzdanlarına kredi kartı bilgilerini eklemelerinin talep edilmediği ancak Türkiye’deki diğer perakende şirketlerin çevrimiçi pazaryerlerinde olduğu gibi, veri sorumlusunun müşterilerin siparişlerine ilişkin ödemelerini alabilmek için ödeme bilgilerine ihtiyaç duyduğu,
Bir müşterinin internet sitesi üzerinden satın alma işlemi gerçekleştirmek istediğinde eğer cüzdanında herhangi bir ödeme aracı yer almıyorsa bu durumda ödemeye devam et seçeneğini seçmeden önce cüzdanına kart bilgilerini eklemesi gerektiği, bu bilgilerin ödemenin müşterinin talebine uygun şekilde alınabilmesi amacıyla kullanıldığı, kart bilgilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
Müşteri bir satın alma işlemini tamamladığında Şirketin bu işleme ilişkin bilgileri 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında hem hizmet sağlayıcı hem de aracı hizmet sağlayıcı sıfatıyla üstlenmiş olduğu hukuki yükümlülükleri yerine getirebilmek adına işlediği, söz konusu süreç kapsamında kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) maddesinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında işlendiği,
Bunun yanı sıra Şirketin kart bilgilerini;
- Müşterilerinin, Şirketin ve diğer kişilerin güvenliğini korumak adına dolandırıcılığı ve suiistimali tespit edebilmek için Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmüne istinaden,
- Müşterinin Şirkete ait internet sitesinde Premium müşteri olması halinde aylık Prime üyelik ücretini tahsil edebilmek adına Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmüne istinaden işlediği,
Ödeme aracı bilgilerini eklemiş olan müşterilerin, hesap ayarlarından diledikleri zaman kartlarını kaldırabildikleri ve bilgilerini değiştirebildikleri, bu durumun, müşterilerin hesapları üzerinde sahip oldukları kontrol yetkisini gösterdiği, kart bilgilerini cüzdanlarından kaldırmayı tercih etmeyen müşterilerin aynı bilgileri tekrar girmeye ihtiyaç duymadan sonraki satın almaları kolaylıkla yapabildikleri,
Müşterilerin ödeme aracı bilgilerinin profil sayfası üzerinden incelenebildiği, ödeme aracı bilgilerinin düzenlenebildiği ve tamamen kaldırılabildiği, ödeme aracının kaldırılması durumunda müşterinin internet sitesi üzerindeki hesabını kullanmaya devam edebildiği,
Şirketin veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü açık bir şekilde yerine getirdiği, Gizlilik Bildiriminde, ödeme süreçlerinin yürütülmesi için ödeme bilgilerinin işlendiğinin belirtildiği, Gizlilik Bildiriminin, Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun şekilde yayınlandığı, bu metnin, müşterilerin internet sitesinin ziyaret ettikleri her sayfanın altında, hesap oluşturma sayfasında ve oturum açma sayfasında yer aldığı, bu sayede müşterilerin kişisel verilerini Şirket ile paylaşmadan önce bu metni inceleyebildikleri,
Bu kapsamda Şirketin kişisel veri işleme faaliyetlerini Kanun’a uyumlu şekilde yürüttüğü

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/04/2023 tarihli ve 2023/567 sayılı Kararı ile;

İlgili kişinin iddiaları ve veri sorumlusunun beyanlarının teyit edilmesi amacıyla veri sorumlusunun şikâyete konu internet sitesinde jenerik bir hesap oluşturulması ve sipariş verilmeye çalışılması suretiyle sistemin test edildiği,
Satın alma işleminin ikinci adımı olan “Bir Ödeme Aracı Ekleyin” adımında “kredi kartı veya banka kartı ekleyin” bölümünün yer aldığı, bu bölüme tıklandığında açılan pencerede, kart bilgilerinin girilebileceği alanların yan tarafında “iptal et” ve “kartınızı ekleyin” şeklinde iki seçenek olduğu, “iptal et” seçeneğine tıklanması durumunda ödemenin gerçekleştirilememesi nedeniyle alışverişin tamamlanamadığı, “kartınızı ekleyin” seçeneği tıklandığında ödeme aracı olarak bilgileri girilen kartın eklendiği ve satın alma aşamalarında sonraki aşamaya ancak bu bilginin girilmesi ile geçilebildiği, ödeme yapıldıktan ve sipariş tamamlandıktan sonra ise “Hesabım-Cüzdan-Kartlar ve Hesaplar” bölümünde tamamlanan siparişin ödenmesi amacıyla zorunlu olması sebebiyle kaydedilen kart bilgilerinin halen kayıtlı olduğunun görüldüğü, bu bölümde “düzenle” seçeneğine tıklanarak ilgili kart bilgilerinin cüzdandan kaldırılabildiğinin anlaşıldığı,
İlgili kişinin iddiası ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı,
Alışverişin tamamlanması için kart bilgilerinin kaydedilmesinin zorunlu olması ve önceki alışveriş için veri sorumlusunun internet sayfasına girilen kart bilgilerinin alışverişin tamamlanmasının ardından kayıtlı olmaya devam etmesinde veri sorumlusu tarafından öne sürülen işleme şartlarının geçerli olup olamayacağının değerlendirilmesinin gerektiği,
Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olduğunun belirtildiği,
Veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabildiklerinin belirtildiği dikkate alındığında veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu,
Kanun’un 4’üncü maddesinde yer alan genel ilkeler arasında yer alan “amaçla bağlı, sınırlı ve ölçülü olma” ilkesi ve “belirli, açık ve meşru amaçlarla işleme” ilkesi gereğince amaç değişikliği yeni bir veri işleme sürecine işaret etmekte olup amaç değiştiğinde veri işleme şartının da amaca uygun biçimde belirlenmesi gerektiği,
Veri sorumlusunun alışverişin tamamlanması için kart bilgilerinin girilmesi gerektiğini beyan ettiği ve bu konuda Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan muhtelif işleme şartlarına dayandığı ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinde aynı işleme şartlarına dayanmak mümkün olmayacağı gibi, veri sorumlusunun öne sürdüğü işleme şartlarının da ancak ilgili kişinin mevcut alışverişleri kapsamında geçerli olabileceği, veri sorumlusunun beyanında da yer aldığı üzere sonraki satın almaların kolaylaştırılması amacıyla kart bilgilerinin işlenmeye devam edilmesinde amaç değişikliği olduğundan bu amacın gerçekleştirilmesi kapsamında uygun işleme şartının da mevcut olması gerektiği,
Kart bilgilerinin mevcut satın alma işlemi tamamlandıktan sonra işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanuna uygun şekilde alınmış açık rızaları kapsamında yapılabileceği,
Veri sorumlusunun uyguladığı mevcut sistemin ise bu şekilde çalışmadığı, öncelikle kart bilgisinin kaydedildiği, sonrasında dileyen müşterilerin kart bilgisini hesabından kaldırabildikleri, böylece verilerin üzerindeki kontrolün sağlandığı beyan edilmekle birlikte bu durumun Kanun’un Genel İlkeler başlıklı 4’üncü maddesinde yer alan “hukuka ve dürüstlük kuralına” uygun olma ilkesine aykırı şekilde ilgili kişilerin yanıltılmasına sebep olduğu,
Sonuç olarak, veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
Veri sorumlusu tarafından ilgili kişilerin kart bilgilerinin işlenmesi hususunda Kanun’un 5’inci maddesinde yer alan geçerli bir işleme şartına dayanılmadığı kanaatine varıldığından bu süreçte aydınlatma yapılıp yapılmadığı hususunda ayrıca bir incelemenin bu aşamada yapılmadığı, öte yandan, söz konusu verinin ancak ilgili kişilerin açık rızası kapsamında işlenebileceği

değerlendirmelerinden hareketle,

Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına,
Öte yandan, bir alışveriş kapsamında kaydedilen kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde açık rızalarının alınması halinde mümkün olabileceği dikkate alındığında kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin kredi kartı verilerinin üyelik hesaplarında ancak açık rıza işleme şartı kapsamında işlenebileceği kanaatine varıldığından bu hususta aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

02.Mayıs.2023: “Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi”

Karar Tarihi	:	02/05/2023
Karar No	:	2023/695
Konu Özeti	:	Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi

Kuruma intikal eden şikayette özetle;

•Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, durumun mahiyetini öğrenmek üzere veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin sorgulanması yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı ifade edilmişse de bu savunmanın kabul edilebilir olmadığı, zira böyle bir yanlışlığın düşük bir olasılık olduğu,
Veri sorumlusunca yapılan açıklamada hatanın fark edilmesi üzerine e-Nabız ekranından derhal çıkıldığı belirtilmişse de 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında bu eylemin kişisel veri işleme faaliyeti anlamına geleceği, ilgili kişinin e-Nabız gizlilik ayarlarının "Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün" şeklinde olmasının hasta kaydı oluşturmadığı, tedavi görmediği, herhangi bir ilgisinin dahi bulunmadığı bir hastane/hekim tarafından sağlık verilerinin görüntülenebileceğine izin verdiği anlamına gelmediği ve e-Nabız uygulamasında yer alan bu gizlilik ayarının böyle bir amaç taşımadığı, aksinin kabulü halinde bu gizlilik ayarının "Her hekim benim tüm kişisel sağlık verilerimi istediği şekilde görüntüleyebilir." manasını taşıdığı varsayımının Anayasanın ölçülülük ilkesine aykırı olduğu gibi hakkın kötüye kullanılması sonucunu da ortaya çıkaracağı,
Özel nitelikli herhangi bir kişisel verinin işlenebilmesinin, meşru bir amaca uygun işlenmesine, örneğin tıbbi tedavi, bakım veyahut teşhis hizmetinin yürütülmesi faaliyetine ya da bir kanun hükmüne dayanmasına bağlı olduğu ve somut durum itibariyle de kişisel verinin işlenmiş olmasının bu türden bir amaca hizmet etmediği açıkça görüldüğünden hukuka aykırılığın sabit olduğu, ilgili kişinin devlet memuru olması bakımından psikiyatri kliniğinde tedavi görmüş olması tezahürünün dahi ilgili kişinin mesleki geleceği bakımından bir tehlike oluşturacağı ve bu durum sebebiyle de ilgili kişi yönünden doğmuş veya doğabilecek zararların da tazmininin gerekeceği, ayrıca ilgili hukuka aykırılık hususunda Bursa Cumhuriyet Başsavcılığına şikâyette bulunulduğu

hususları belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezi’nin savunması talep edilmiş olup cevabî yazıda özetle;

İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen cevapta her ne kadar başka bir hastanın T.C. kimlik numarası ile ilgili kişinin T.C. numarasının benzerliğinden dolayı sehven böyle bir hatanın yapıldığı belirtilmiş ise de veri sorumlusu tarafından yapılan derin araştırma ile bu hususun böyle olmadığının farkına varıldığı,
Araştırma sonucunda veri sorumlusu bünyesinde çalışan hekimin sekreteri tarafından hekimin ve hastanenin bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığı, bu sorgulamayı da hastanede çalışan bir başka personelin talebi üzerine yaptığının tespit edildiği ve bu tespit neticesinde bu hususun yazılı olarak tutanak altına alındığı,
Ardından hastane yetkilileri tarafından ilgili personelin ifadesine başvurulduğu, personelin ilgili kişinin e-Nabız bilgilerini sorgulamasını kendisinin bir tanıdığı olan Avukat tarafından gelen rica üzerine gerçekleştirdiğini beyan ettiği, ilgili kişinin e-Nabız paylaşım ayarlarının mevcut halinin meydana getirdiği neticeden dolayı veri sorumlusunun veri güvenliği hükümlerine aykırı hareket ettiğinden bahsederek cezai işlem uygulanması talebinin ölçülülük ilkesine aykırı ve haksız olacağı,
Hekimlerin gerek hasta muayenesinde gerek ilaç yazımında gerekse diğer tüm sağlık hizmeti faaliyetlerinin sunumunda e-Nabız sistemine girebilmesi için özel olarak kendilerine sağlanan bir e-imzanın bulunduğu, bu sayede hekimlerin kendi adlarına tanımlanan e-imza ile e-Nabız sistemine giriş yapabildiği, e-Nabız sisteminde kişisel gizlilik ayarlarının bulunduğu ve her vatandaşın e-Nabız gizlilik ve paylaşım ayarlarını dilediği zaman değiştirebildiği, bu paylaşım ayarlarından en zayıfı olan “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” ayarının ilgili kişi tarafından zaten seçilmiş olduğu ve bu sayede ilgili kişinin onayı olmaksızın hekimlerin sağlık verilerine erişim sağlayabileceği, somut olayda da ilgili kişinin iradesinin bu yönde olduğu, aksi bir durumda ise ilgili kişinin verilerine erişim amacıyla telefonuna doğrulama kodu gönderilmesinin gerekeceği,
Hal böyle iken ilgili kişinin kendi rızası ile paylaşım ayarlarını bu seviyede kullanıyor olması ve neticesinde böyle bir ihlalin yaşanmış olmasından hareketle veri sorumlusunun veri güvenliği hükümlerine riayet etmemesi yahut herhangi bir kabahatinin bulunmadığı sonucuna ulaşılamayacağı, şayet kabahatli olarak nitelendirilirse bunun ölçülülük ilkesine aykırı, haksız ve hukuki dayanaktan yoksun olacağı,
Hekim sekreterlerinin görevleri gereği hekimlerin bilgisayarlarını ve e-imzalarını kullanmalarından dolayı hekim sekreterlerine bu hususta gizlilik sözleşmesi imzalatmak ve gerekli eğitimi vermekten başka müvekkil hastanenin alabileceği idari ve güvenlik tedbiri bulunmadığı, somut olayda da sekreterin adı geçen hekimin onayı ve bilgisi olmaksızın sisteme giriş yaptığı, veri sorumlusu tarafından kişisel verilerin korunması adına birtakım teknik ve idari tedbirlerin alındığı, buna örnek olarak hastane bünyesinde bütün bilgisayarların ve kullanılan otomasyon yazılımının log kayıtlarının tutulduğu ve şikâyet konusu olayın da bu log kayıtları ile aydınlatıldığı, kullanılan yazılımlarda yetki matrisi oluşturulduğu ve hekimlerin, sekreterlerin, hemşirelerin ve diğer personel gruplarının her birisine ayrı ayrı yazılıma giriş izni verilen yerlerin ve verilmeyen yerlerin ayrıştırıldığı, çalışanlara gizlilik sözleşmeleri imzalatıldığı, parola yönetim politikası, e-posta yönetim politikası, temiz masa temiz ekran politikası, özel nitelikli kişisel verilerin işlenmesi politikası gibi politikaların tanzim edildiği, tanzim edilen politikaların yürürlüğe konulduğu, personellere bu hususta eğitimler verildiği ve nitekim ihlali gerçekleştiren personellerin de bu kapsamda eğitim aldığı, hekim bilgisayarlarının şifreli olarak kullanıldığı

hususları belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/695 sayılı Kararı ile;

Şikâyete konu olayın, ilgili kişinin e-Nabız sistemi üzerinden sağlık verilerine veri sorumlusu bünyesinde çalışan personelin yetkisiz ve onaysız biçimde eriştiği ve ilgili kişinin bundan zarar görme riskinin bulunduğu yönündeki şikâyetten hareketle veri sorumlusu hakkında yaptırım uygulanması talebinden ibaret olduğu,
Şikâyet konusu olayda işleme faaliyetine konu verilerin ise, e-Nabız sisteminde tutulan ve Kanun’un 6’ncı maddesinde yer verilen özel nitelikli kişisel veri kategorisinde yer alan sağlık verileri olduğu,
e-Nabız sisteminin Sağlık Bakanlığı tarafından bütün hasta ve hekimlerin kendilerine özgü amaçlarla istifade edilmek üzere kullanımlarına sunulan ulusal çapta bir sağlık kayıt yönetim sistemi olduğu, Sağlık Bakanlığı’ndan veya özel sağlık kuruluşlarından sağlık hizmeti alan kişilere ait teşhis, tedavi, reçete vb. bilgilerin, takip amacıyla bu sistem üzerinden muhafaza edilmekte olduğu, kişilere ait sayfalarda tutulan sağlık kayıtlarına erişim izinlerinin ise, (yine kişilerin tercihlerine bağlı olarak) hekimlerin kullanımı amacıyla çeşitli seviyelerde sağlandığı,
Somut olayda ise -veri sorumlusunun beyanı da dikkate alınarak- ilgili kişinin erişim yetkisini “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olabileceği ancak kişilerin kendi kayıtlarına erişim yetkisini vermesinin, diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, kişilerin verilerine erişim yetkisini geniş tutarak bütün hekimlerin erişimine açmış olmasının, yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği, bunun aksinin kabulü halinde ise herhangi bir hekimin “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” tercihini işaretlemiş olan herkesin sağlık verilerine istediği gibi erişmesi ve bu veriler üzerinde hukukun çizdiği sınırların dışında tasarrufta bulunabilmesi anlamına geleceği, böyle bir durumun kişilere bağlı sıkı sıkıya korunan bir hak olan kişisel verilerin korunmasını isteme hakkına aykırılık teşkil edeceği hususunun izahtan vareste olduğu,
Kanun’da sağlık ve cinsel hayata ilişkin verilerin işlenmesinin genel nitelikli kişisel verilere kıyasla daha sıkı şartlara bağlandığı, buradan hareketle yalnızca hekimlere sağlanan e-Nabız sistemine erişim şifresinin veri sorumlusu bünyesinde görev yapan hekim tarafından yardımcı sağlık personeli ile paylaşıldığı, özel nitelikli kişisel verilerin korunması bakımından hassasiyet göstermesi beklenen adı geçen hekimin bu hususta hassasiyet göstermediği, bunun neticesi olarak yalnızca sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişilerce erişilmek suretiyle kişisel veri işleme faaliyetinin hukuka aykırı biçimde gerçekleşmiş olduğu,
Söz konusu hukuka aykırı erişimin veri sorumlusu çalışanları eliyle gerçekleştiği dikkate alınarak söz konusu işleme faaliyetindeki sorumluluğun veri sorumlusu üzerinde olacağı ve dolayısıyla Kanun’un 12’nci maddesinde yer verilen teknik ve idari tedbirlerin veri sorumlusunca makul düzeyde alınmadığı ve bunun yanında veri sorumlusunun savunmasında dile getirilen sisteme erişim yetkilerinin sınırlandırılmasında gerekli düzenlemelerin (gizlilik sözleşmesi, erişim yetkisi tanımlamaları vb.) hekim bakımından hayata geçirilmediği sonucuna ulaşıldığı,

değerlendirmelerinden hareketle;

Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığından Kanun’un 12’nci maddesinde belirtilen kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerine uymadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

11.Mayıs.2023: “Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar”

Karar Tarihi	:	11/05/2023
Karar No	:	2023/787
Konu Özeti	:	Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında

Kuruma intikal eden ihbarda özetle;

Hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği,
Ancak bu açık rızanın gerek içerik gerekse hizmet ettiği ilişki biçimi yönünden kişisel verilerin korunmasına dair mevzuata, tıp etiği değerlerine ve özel hastaneler için belirlenmiş reklam ve tanıtım sınırlamalarına dair birçok aykırılığı içinde barındırdığı,
Hastalara ait sağlık verilerin ve görüntü kayıtlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği,
Sağlık kuruluşlarının kendilerine başvuran hastalara ait kişisel verileri tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kalmak koşuluyla sadece sağlık hizmeti sunma amacıyla işleyebileceği ve Kanun’a dayanan ölçülü ve zorunlu hallerle sınırlı olarak üçüncü kişilere/kurumlara iletebileceği,
Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı,
Hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceği, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı

belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinden anlaşıldığı üzere özel hastanelerin tanıtım ve bilgilendirme yapmasının tamamen yasaklanmadığı, sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmalarının mümkün olduğu,
Şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı,
Bu itibarla gerçekleştirilen işlemlerde özel hastanelerin reklam, tanıtım kurallarına ilişkin herhangi bir aykırılığın söz konusu olmadığı,
Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin, 6’ncı maddesinin ikinci fıkrasında ise özel nitelikli kişisel verilerin ilgili kişilerin açık rızaları alınmak koşuluyla işlenebileceğinin düzenlendiği, açık rıza formlarının imzalatılmasının hastalara dayatıldığı ileri sürülse de bu bilgilendirme faaliyetlerine katılım veyahut rıza belgelerini imzalamaları konusunda hastaların iradelerini sakatlayıcı nitelikte herhangi bir tutumun sergilenmediği,
Hasta Hakları Yönetmeliği’nin 23’üncü maddesine istinaden gerçekleştirilen işlemlerin hasta hakkı ihlali olduğu iddia edilse de madde hükmünde bahsi geçen verilerin sağlık verileri olmadığı, sağlık hizmetinin verilmesi nedeniyle elde edilen hastalara ait diğer özel bilgiler olduğu,
Bu verilerin sağlık verisi olduğu kabulü halinde dahi verilerin Kanun ile müsaade edilen haller dışında açıklanmasının yasaklandığı, 6698 sayılı Kanun’un 6’ncı maddesinin ikinci fıkrası ve 8’inci maddeleri uyarınca kişilerin açık rızaları alınarak verilerin işlenmesi ve aktarılmasının mümkün olduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı kararı ile;

Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükmü yer almakta olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin 1’inci fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak sayıldığı, anılan maddenin 2’nci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte 3’üncü fıkrada da “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne yer verildiği, Kanun’un 6’ncı maddesine göre somut olaya konu olan tanıtım yapılması amacıyla sağlık verilerinin işlenmesinin yalnızca ilgili kişilerin açık rızası ile mümkün olacağı,
Somut olayda, veri sorumlusu tarafından “Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında Aydınlatılmış Onam Formu” kapsamında hastalardan açık rızaları talep edilmekte olup ilgili onam formunda pazarlama, reklam ve tanıtım süreçlerinin yürütülmesi kapsamında gerçekleştirilecek fotoğraf/video çekimlerinin kayıt altına alınacağı ve hizmet alınan, iş birliği yapılan veya anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın organları ile sosyal medya platformlarına aktarılabileceğinin belirtildiği,
Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin 1’inci fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlandığı, bu anlamda açık rızanın; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması olmak üzere üç unsuru bulunmakta olup açık rızanın Kanun kapsamında geçerli bir işleme şartı olarak nitelendirilebilmesi için bu unsurları taşıması gerektiği,
Öte yandan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (a) ve (c) bentlerinde kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma ve belirli, açık ve meşru amaçlar için işlenme ilkelerine uyulmasının zorunlu olduğunun düzenlendiği, bu çerçevede hukuka ve dürüstlük kuralına uygun olma ilkesinin; kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesini gerektirdiği, hukuka uygunluk kavramı ile genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uyumlu olunmasının amaçlandığı, bununla birlikte Madde 29 Veri Koruma Çalışma Grubu’nun amaçla sınırlı olma ilkesine ilişkin 03/2013 tarihli görüşünde; belirli, açık ve meşru amaçlar için işlenme ilkesi kapsamında bir amacın meşru olmasının, en geniş anlamda amaçların hukuki düzenlemelere uygun olması gerektiği anlamına geldiği, diğer bir ifadeyle bir işleme şartının mevcut olması ile birlikte diğer hukuk kurallarına da uyum sağlanmasının gerektiği, bu durumda kişisel verilerin işlenmesi, sektöre özgü bir düzenleme kapsamında ihlale yol açıyorsa işleme faaliyetinin hukuka uygun olduğunun söylenemeyeceği,
Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan ;“Özel hastaneler; tıbbî deontoloji ve meslekî etik kurallarına aykırı şekilde, insanları yanıltan, yanlış yönlendiren ve talep yaratmaya yönelik, ruhsatında yazılı kabul ve tedavi ettiği uzmanlık dallarından başka hastaları kabul ve tedavi ettiği intibaını uyandıran, diğer hastaneler aleyhine haksız rekabet yaratan davranışlarda bulunamazlar ve bu mahiyette tanıtım yapamazlar. Özel hastaneler tarafından; sağlığı koruyucu ve geliştirici nitelikteki bilgilendirme ve tanıtımlar yapılabilir. Bilgilendirme ve tanıtım faaliyetleri kapsamında, yanıltıcı, abartılı, doğruluğu bilimsel olarak kanıtlanmamış bilgilere ve talep yaratmaya yönelik açıklamalara yer verilemez. Özel hastaneler; hizmet alanları ve sunacağı hizmetler ile açılış bilgileri ve benzeri konularda toplumu bilgilendirmek amacıyla tanıtım yapabilir ve ilan verebilir. Özel hastaneler tarafından oluşturulan internet sitelerinde; yer alan her türlü sağlık bilgisi, alanı ile ilgili bilgi ve tecrübeye sahip sağlık meslek mensupları tarafından verilmek zorundadır. Bu siteler aracılığıyla hiçbir şekilde tedavi edici sağlık hizmetine yönelik bilgiler verilemez. İnternet sayfalarında verilen bilginin, son güncelleme tarihi açıkça belirtilir.(…)” hükümlerinden anlaşılacağı üzere özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağının düzenlendiği,
Söz konusu açık rıza kapsamında gerçekleştirilen ve veri sorumlusunun sosyal medya hesaplarından paylaşılan çekimler incelendiğinde genellikle hastalar tarafından yaşadıkları sağlık sorunu hakkında bilgi verildiği ve tedaviyi gerçekleştiren doktorun hastaya konulan tanı ve uygulanan tedavinin sonucu hakkında açıklamalarının yer aldığı, bu noktada ise “(…) Aydınlatılmış Onam Formu” ile pazarlama, reklam, tanıtım süreçlerinin yürütülmesi amacıyla kişisel verilerin işlenebilmesi için hastalardan açık rıza alındığının görüldüğü, bununla birlikte benzer bir konuda Reklam Kurulunun 20.08.2019 tarihli ve 2019/2602 dosya numaralı kararında özetle, bir özel hastanenin internet sitesinde yer alan tanıtımlarda hastanın yaşadığı sağlık sorununa ve doktorunun hasta hakkındaki açıklamalarına yer verilerek tedavinin başarılı bir şekilde sonuçlandığı yönündeki ifadeler vasıtasıyla sağlık kuruluşlarının mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetleri kapsamının aşıldığı ve reklam yapıldığı; bu tanıtımların kuruluşun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve diğer sağlık kuruluşları aleyhine haksız rekabete yol açıcı nitelikte olduğuna karar verildiği, bu doğrultuda sektöre özgü düzenlemeler kapsamında özel hastanelerin reklam yapma yasağı bulunmasına rağmen veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı,
Diğer taraftan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (ç) bendinde genel ilkeler arasında sayılan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması anlamına geldiği, ölçülülük ilkesinin ise veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiği, bu kapsamda veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı,
Bu bakımdan, veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması, bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacıyla hastaların açık rızaları doğrultusunda video çekimlerinin yapıldığı belirtilmiş olsa da söz konusu amaca ulaşabilmek için kişisel sağlık verilerinin işlenmesinin zorunlu olmadığı, zira herhangi bir kişisel veri işlenmeksizin yalnızca ilgili hastalıklar hakkında bilgilendirme yapılmasının mümkün olduğu, dolayısıyla ulaşılmak istenen amaç bakımından kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığı dikkate alındığında somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

Veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik Kanun’un 6’ncı maddesinin 2’nci fıkrası uyarınca ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin Kanun’un 6’ncı maddesi kapsamında herhangi bir dayanağının bulunmadığı, bu doğrultuda Kanun’un 12’nci maddesinin 1’inci fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendi gereğince 250.000 TL idari para cezası uygulanmasına,
Kanun’un 15’inci maddesinin 7’nci fıkrası doğrultusunda söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

02.Mayıs.2023: “Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması”

Karar Tarihi	:	02/05/2023
Karar No	:	2023/692
Konu Özeti	:	Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması

Kuruma iletilen ihbar dilekçesinde özetle; sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup alınan cevabi yazıda özetle;

Başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği,
Söz konusu görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği

belirtilerek internet sitesi üzerinden randevu taleplerinde kişisel verilerin işlenmesine dair süreç hakkında bilgi verilmiştir. Buna göre;

İnternet sitesinde üç farklı alandan randevu alınabildiği ve randevu almak isteyen kişilerin ad ve soyadlarını, T.C. kimlik numaralarını, doğum tarihlerini ve cep telefonu numaralarını ekrana girmeleri gerektiği,
Veri sorumlusu bir hastane işletmesi olduğu için hastanın kimlik bilgilerinin kontrolü ve aydınlatma metninin gönderileceği telefon numarasının tespiti adına randevu aşamasında talep edilen bu bilgilere ihtiyaç duyulduğu, içi boş olarak gelen kutucukları ise kişilerin rızalarına göre işaretleyebilecekleri,
Kişilerin “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğini işaretlediklerinde telefon numaralarına bir doğrulama kodu geldiği ve bu kodun girişi ile işleme devam edilebildiği,
Kişilere gelen kısa mesajda internet sitesinde de ilan edilen aydınlatma metninin uzantısının görüntülendiği,
Randevu almak isteyen kişilerin “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel verilerinin kullanılmasına ve benimle iletişime geçilmesine onay veriyorum” kutucuğunu işaretlemelerinin kendi tercihlerine bırakıldığı ve bu kutucuk işaretlenmeksizin de ilerlenip randevu oluşturulabildiği,
Randevu sürecinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan; “Bir sözleşmenin kurulması/ifasıyla ilgili olmak kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olması”, “Hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması” ve “Meşru menfaatler için veri işlemenin zorunlu olması” şartlarına dayanılarak kişisel verilerin işlenmekte olduğu,
İlgili kişiye sağlık hizmetinin verilmesine yönelik bir randevu oluşturulabilmesi ve randevu bilgilerinin kişiye gönderilebilmesi için kişinin adı, soyadı, T.C. kimlik numarası, doğum tarihi ve iletişim bilgilerinin bulunmasının şart olduğu ve diğer taraftan kalite denetimi ve hasta-hekim planlaması için de doğru randevunun oluşturulmasının işleyiş verimliliği için bir gereklilik olduğu,
Hastaneye dair duyurulardan randevu aşamasında haberdar olmak için talep edilen kişisel verilerin ise ad, soyad ve telefon numarasından ibaret olduğu, bu bilgilerin Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayalı olarak işlendiği,
Kişisel verilerin elde edilmesi sırasında Kanun’da açık rıza aranmadan işlenebilecek verilere ilişkin aydınlatma yükümlülüğünün ilgili kişiler talep etmese dahi yerine getirilmekte olduğu,
Kişisel verilerin işlenmesinde ayrıca Kanun’un 4’üncü maddesinde yer verilen temel ilkelere uygun davranıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Kararı ile;

İhbar ekinde gönderilen ekran görüntüleri incelendiğinde, veri sorumlusuna ait internet sitesinde randevu amacıyla doldurulan form sayfasında kişilere ait ad, soyad, T.C. kimlik numarası, doğum tarihi ve cep telefonu bilgileri talep edilmekle birlikte aynı sayfanın altında “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun yer aldığı, form bilgilerini içeren tablonun yeşil, kutucuğun ise (işaretlenmediği an itibariyle) kırmızı renkli olmasından hata uyarısının verilmiş olduğu ve işaretlenmediği sürece “ileri” butonunun çalışmadığının anlaşıldığı,
İddianın doğruluğunu teyit etmek amacıyla bahse konu sayfa ziyaret edildiğinde ihbar dilekçesinden farklı olarak, randevu formunun altında iki kutucuk bulunduğu ve bunlardan birinde “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” kutucuğunun, diğerinde ise “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” kutucuğunun yer aldığı,
İhbar dilekçesindeki görüntü ile Kurul incelemesinin başlatılması arasında geçen süre içerisinde veri sorumlusunca bahse konu sayfada düzenleme yapıldığının anlaşıldığı, bu kapsamda duyurulardan haberdar olmaya ilişkin tercihin zorunlu olmaktan çıkarıldığı, ayrıca kişisel verilerin işlenmesine dair bir açık rıza beyanı kutucuğunun ilave edildiği ve benzer bir durumun şikâyet bildirimi sayfası ile sitenin mobil versiyonunda da geçerli olduğu,
Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmakta olduğu ve bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konması gerektiği, diğer bir deyişle açık rıza beyanının genel nitelikte olmayıp belirli bir konuya özgülenmiş ve o konu ile sınırlı olmasının gerektiği, açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, bununla birlikte açık rıza bir irade beyanı olduğundan kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden herhangi bir ürün ve/veya hizmetin sunumunun da ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamasının tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin öncelikle değerlendirilmesinin gerekli olduğu,
Diğer taraftan, Kanun’un 4’üncü maddesinde yer verilen genel ilkelere uyulmasının zorunlu olduğu, ihbar konusu olay kapsamında düşünüldüğünde de kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olarak kabul edilmesi gerektiği,
Veri sorumlusunca Kuruma iletilen savunmada; internet sitesinin randevu sayfasında kişilere ait verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c), (ç) ve (f) bentlerindeki işleme şartlarına dayandırıldığı ifade edilmekle birlikte (ihbar tarihi itibariyle) tanıtım amacıyla kişisel veri işlemenin Kanun’un aynı maddesinin (1) numaralı fıkrasında düzenlenen açık rıza şartına dayandırıldığı, ancak açık rıza işlevini gören onay kutucuğu işaretlenmeden randevu işleminin tamamlanmadığının görüldüğü, bu uygulamanın ise başvurudan sonra veri sorumlusunca düzeltilmiş olmakla beraber o tarihe kadar gerçekleştirilen randevu işlemlerinin bu minvalde yürütüldüğünün anlaşıldığı,
Bahsi geçen uygulamanın; ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu ortaya koyduğu, zira sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı, örnek olayda “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür iradeyle açıklanma” şartlarını taşıması gereken açık rızanın ilgili kişiler bakımından bu niteliklerini kaybettiği dikkate alınarak bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
Ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’un 5’inci maddesinin 1 numaralı fıkrasında düzenlenen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,

Randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” ifadesinin ilgili kişiler tarafından aydınlatma metnine onay veriliyormuş izlenimi yarattığı dikkate alındığında söz konusu metinden “onay veriyorum” ifadesinin çıkarılarak aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilmesini teminen yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri sorumlusu tarafından açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

22.Mart.2023: “Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Karar Tarihi	:	22/03/2023
Karar No	:	2023/437
Konu Özeti	:	Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi

Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında, borcun takibi ve hatırlatılması amacıyla ilgili kişiye beş kez kısa mesaj gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak Kuruma intikal eden şikâyet dilekçesinde özetle;

Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
Toplamda beş kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderilmesi nedeniyle Kanunun 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama” kullanıp kullanmadığı hususunda denetim yapılması

talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

Kurulun şikâyeti değerlendirmeye alarak taraflarından savunma, bilgi ve belge ibrazı talep etmesinin usul ve yasaya aykırı olduğu, ilgili kişi tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesinde öngörülen veri sorumlusuna başvuru usulüne uygun bir başvuru yapılmadığı ve Avukatlık Ortaklığının, veri işleyen olması nedeniyle ilgili kişinin Avukatlık Ortaklığına başvuru hakkı bulunmadığı,
Şirket ile Avukatlık Ortaklığı arasındaki hukuki ilişkinin mahiyetine ilişkin olarak; Avukatlık Ortaklığının, Şirket ile arasında bulunan hizmet sözleşmesi ve vekalet ilişkisi kapsamında, alacakların tahsili için yasal takip hizmeti verdiği, Avukatlık Ortaklığının, Şirket tarafından abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak yetkilendirildiği, Şirket tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip olduğu, Avukatlık Ortaklığının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak Şirket borçlularıyla gerçekleştirilen telefon ve kısa mesaj ile iletişim kurma faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca “veri işleyen” konumunda olduğu, Şirket ile Avukatlık Ortaklığı arasında münakid Sözleşmenin ilgili maddesi uyarınca Avukatlık Ortaklığının veri işleyen olduğu, hal böyleyken gerek taraflar arasında akdedilen Sözleşme hükümleri gerek vekalet ilişkisi gerek ise Kanun hükümleri uyarınca işlemekte oldukları kişisel verilere ilişkin olarak veri işleyen sıfatı ile sorumlu olduklarının son derece açık olduğu,
Kişisel verilerin veri sorumlusu tarafından işlenmesinin hukuki dayanağına ilişkin olarak; müvekkilleri Şirketin gecikmiş alacaklarının tahsili amacı ile icra işlemlerini yürütmek üzere Avukatlık Ortaklığı ile kurulan vekalet ilişkisi ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan Borç ve Alacak Bilgilerinin Sorgulanmasına İlişkin Usul ve Esasların yerine getirilmesi kapsamında icra takibi öncesi ve sonrasında borçlularla iletişim kurularak borç bilgisi, haciz bilgisi, faiz indirimi kampanyası ve ödeme kanalı gibi konularda bilgilendirme yapıldığı ve mümkün oldukça borçların uzlaşma ile tahsilatının sağlandığı,
Diğer taraftan, borcun yasal yollara başvurulmadan ve borçlunun durumu ağırlaştırılmaksızın, mevzuata uygun ve Şirket ile Avukatlık Ortaklığı arasındaki vekalet ilişkisi ve sözleşmeler kapsamında tahsil edilebilmesi için 2004 sayılı İcra İflas Kanunu’nun temel ilkelerinden birisi olan “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” prensibi doğrultusunda hareket edilmesi gerektiği,
Alacağın kısa sürede tahsili ile abonelerin/borçluların takip hukukundan kaynaklanan vekalet ücreti, faiz, harç ve masraf gibi borcun ferilerine ve haciz işlemlerine maruz kalmadan indirimli şekilde ödeme yapabilmesine olanak sağlanması ile dosya borcunun artmasının önüne geçilmesi, borçluların lehine olarak taksitlendirme imkanı ve banka, kredi kartı gibi ödeme kanalları hakkında açıkça bilgi verilmesi, ödemenin yapılmaması halinde alacağın tahsili amacıyla hakkında icra takibi başlatılacağının ve/veya başlatıldığının abonelere/borçlulara bildirilmesi, diğer bir deyişle borcun ödenmemesi durumunda maruz kalınabilecek hukuki riskler hakkında açıkça bilgi verilmesi, Şirketin talebi ve onayı doğrultusunda sulh görüşmelerinin gerçekleştirilmesi, ileride doğabilecek uyuşmazlıklarda bu bilgilendirmelerin delil olarak kullanılması adına aramaların gerçekleştirilebildiği ve kısa mesaj gönderilebildiği,
Hukuka aykırı olarak kişisel veri elde etmek amacıyla herhangi bir yazılım/program/uygulama kullanılıp kullanılmadığına ilişkin olarak; Avukatlık Ortaklığı tarafından kişisel veri elde edilmesi amacıyla yasa dışı herhangi bir yazılım/uygulama, program yahut başka şekilde elde edilmiş veri kullanılmadığı, ilgili kişinin, “internet sitelerinin borçların ödenmesine özgülendiği” bu amaçla hukuka aykırı olarak çeşitli yazılımlarla borçlu verisi topladıkları iddialarının tamamen kötü niyetli olarak öne sürüldüğü, ilgili kişinin bu asılsız ve dayanağı olmayan iddiaları ile Avukatlık Ortaklığını zan altında bırakma çabası içinde olduğu, Avukatlık Ortaklığının web sitesinde borçluların borcunu kolayca ödemesi için ödeme kanallarının ve yöntemlerinin bulunduğu bir sekmenin mevcut olduğu ve web sitesinden borçlulara Türkiye Barolar Birliği tarafından sunulan BaroKart sistemi üzerinden taksitli borç ödeme imkanı, banka hesapları ve Şirketin ödeme kanalları, talep, itiraz, şikâyet yolları hakkında bilgi verildiği, web sitesinde yapılan bilgilendirmelerin Kanun ve buna ilişkin mevzuat ile bir ilgisi bulunmadığı, web sitesi üzerinden bir veri toplanmasının da söz konusu olmadığı, Avukatlık Ortaklığının mevcut olayda kişisel verilerin korunması hukuku çerçevesinde yasal mevzuatı ihlal edici nitelikte hiçbir icrai yahut ihmali davranışta bulunmadığı,
Bu kapsamda, Avukatlık Ortaklığı olarak vekili oldukları Şirket adına, Şirketin haklarını ve menfaatlerini korumak amacıyla hareket ettikleri ve bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte oldukları icra işlemleri bakımından İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla ilgili kişiye ait kişisel verileri, Kanunun 5’inci maddesinin ikinci fıkrasında yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri çerçevesinde işledikleri,
Avukatlık Ortaklığının kişinin borç bilgilerini müvekkilleri Şirketten temin ettiği; takip öncesi bilgilendirmeden maksadın yasal takip başlatmadan evvel makul bir süre bekleyerek karşı yanı borcuna eklenecek masraflardan korumayı amaçladığı, ilgili kişinin Avukatlık Ortaklığı tarafından kendisine beş kez kısa mesaj atıldığını ve Avukatlık Ortaklığının kendisini taciz ettiğini beyan ettiği, ancak kendisine ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde bilgilendirme dışında hiçbir ibare olmayan kısa mesaj gönderildiği, Türk Borçlar Kanunu’na, BTK Usul ve Esaslarına ve Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendi kapsamında açık rıza aranmaksızın bilgilendirme haklarına dayalı olarak Avukatlık Ortaklığınca bilgilendirme saikiyle hareket edildiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/437 sayılı Kararı ile;

Kanun’un 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusunun; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade ettiği, bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı, kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisinin veri sorumlusuna ait olduğu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusunun, veri işleme faaliyetinin temel araçlarını ve amaçlarını, veri işlemenin “neden” ve “nasıl” olacağını belirlediği, diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurların veri sorumlusu tarafından belirlendiği, her ne kadar Avukatlık Ortaklığı ile Şirket arasındaki Sözleşmede Avukatlık Ortaklığının “veri işleyen” statüsünü haiz olduğu öngörülmüş ve ilgili kişinin şikâyetine konu kişisel veriler Şirket tarafından Avukatlık Ortaklığına aktarılmış olsa da kişisel verilerin korunması mevzuatı ve uygulanması bağlamında Avukatlık Ortaklığının sahip olduğu sıfatın fiili durumun şartları gözetilerek belirlenmesi gerektiği,
Avukatlık Ortaklığının yetkilerinin, Şirket ile arasındaki vekalet ilişkisi ve Sözleşme kapsamında Şirketin alacaklarının tahsil ve takip işlemlerinin yürütülmesi ile sınırlı olsa dahi Şirket tarafından kendisine aktarılan kişisel veriler üzerinde gerçekleştirilecek işleme faaliyetlerini yönettiğinin görüldüğü, bu itibarla, avukatlık faaliyetleri çerçevesinde Avukatlık Ortaklığının kişisel veri işleme faaliyetleri bakımından serbestçe karar verme yetkisine sahip olduğu, ilgili kişinin şikâyetine konu kişisel verilerinin işlenme amaç ve vasıtalarını belirlediği ve veri sorumlusu olarak kabul edilmesi gerektiği,
Veri sorumlusu tarafından avukatlık faaliyetleri kapsamında Şirketin alacaklarının borçlu ilgili kişiden tahsil edilebilmesi ve ilgili kişiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda ilgili kişinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendinde öngörülen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartına dayanılarak kısa mesaj göndermek suretiyle ilgili kişinin kişisel verilerinin işlenmesinin mümkün olduğu;
Bununla birlikte, şikâyete konu somut olayda veri sorumlusu tarafından benzer içerikli 5 kısa mesajın, yaklaşık 1 aylık periyotlarla ilgili kişiye gönderildiği, veri sorumlusunun Kurumu muhatap cevabi yazısında da belirtildiği üzere söz konusu mesajların, ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde ilgili kişiye gönderildiği, bu kapsamda, söz konusu işleme faaliyetinin Kanunun 4’üncü maddesinin ikinci fıkrasının (a) bendinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine de aykırılık teşkil etmediği

değerlendirmelerinden hareketle,

Veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu değerlendirildiğinden söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığına,
İlgili kişinin, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına,
İlgili kişinin, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında bahse konu talep hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

22.Mart.2023: “Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi”

Karar Tarihi	:	22/03/2023
Karar No	:	2023/426
Konu Özeti	:	Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi

Kuruma intikal ettirilen bir ihbar dilekçesinde özetle;

Tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,

Kuruma intikal ettirilen bir diğer ihbar dilekçesinde ise özetle;

Şirketin ihbar edenden e-Devlet şifresini istediği, ihbar edenin ısrarlar sonucunda şifre almadığını söyleyerek talebi reddettiği,
İhbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği

hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusu Şirketin savunması talep edilmiş olup veri sorumlusunun ilk ihbar dilekçesine ilişkin cevabî yazısında özetle;

İhbar edenin veri sorumlusu ile tüketici finansman sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat edilmesinin istendiği ve fakat ihbar eden kişi tarafından sözleşmenin iptal edildiği,
İhbar edenin ürün satın almak için başvuruda bulunduğu, işlem yapmak amacıyla açık rızası ile irtibat numarasını bildirmiş olduğu, Şirketin Tüketici Finansman Kredisi kullanılmasına ilişkin ihbar edenin yeni işe başladığını beyan etmesi üzerine işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşterinin en yakın şubeye davet edildiği ve sigorta kayıtlarının beyan edilmesinin talep edildiği, bu bilgilerin e-Devlet sistemi üzerinden temin edileceğinin sabit olduğu, şirketin ihbar edenin e-Devlet şifresini talep etmediği, ilgili kişinin e-Devlet şifresinin bilinmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden talep edilen kayıtların gösterilmesinin talep edildiği, müşteri/ihbar edenin ilgili kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği,
İhbar edenin kişisel verilerinin işlenmesinin gerekçelerinin ise; şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunluluğu, bir hakkın tesisi, kullanılması veya korunması için bilgi talebi olması, şirketin meşru menfaatleri için bilgi talebinin gerekli olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait bilgi talebinin gerekli olması olduğu

belirtilmiştir.

Aynı konuya ilişkin veri sorumlusu Şirketin ikinci ihbar dilekçesine ilişkin cevabî yazısında ise özetle;

Somut olayda ihbar edenin veri sorumlusu ile taksitli satış sözleşmesi akdettiği, sonrasında bozuk olan ürün yerine yeni ürünün ilgili kişiye teslim edildiği, ardından bu üründe de arıza olunca ürün satış işleminin iptal olduğu ve ücret ödemesinin ihbar edene iade edildiği,
Veri sorumlusunun, ilgili mevzuat çerçevesinde yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almış olduğu,
Müşterilerden/ilgili kişilerden e-Devlet şifresi talep edildiği yönündeki iddiaların gerçek dışı olduğu, veri sorumlusunun Kanun gereğince, tüketici işlemleri sırasında herhangi bir veri tutmadığı; kimlik aslının ve iletişim bilgilerinin ilgili kişilerden kontrol amacıyla alındığı ve yapılan kontrollerin ardından kimlik aslının geri verilip suretinin dahi sistemlerde kayıt altına alınmadığı,
İddia edildiği gibi e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığı, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığı, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığı,
Kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbirleri alan veri sorumlusunun, e-Devlet gibi kişiye ait özel bir alanı kullandığı iddiasının Şirket politikası ve uygulamaları ile ters düşeceği, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığı, somut durumlar karşısında Şirket açısından herhangi bir cezai yaptırım oluşturabilecek bir durumun söz konusu olmadığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/426 sayılı Kararı ile;

Kişilerin kendilerine ait ad-soyadı, iletişim numarası gibi tüketici işlemlerinde kullanılan bilgilerin veri sorumlusunun veri kayıt sisteminde işlenmesinden ötürü, Kanunun 2’nci maddesinde yer alan hüküm dikkate alındığında Kuruma yapılan ihbarların Kanun kapsamında olduğu,
Kanunun 3’üncü maddesinin birinci fıkrasının (ç) bendi gereği Şirket’in veri kayıt sisteminde kişisel verileri tutulan ihbarda bulunanların ilgili kişi, (ı) maddesi gereği ilgili kişilerin kişisel verilerinin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin tutulmasından ve yönetilmesinden sorumlu tüzel kişi olan Şirket’in ise veri sorumlusu olduğu,
Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
İlgili kişinin Kuruma sunduğu ihbar dilekçesinde Şirketten senetle televizyon alındığı ve kendisinden e-Devlet şifresinin talep edildiğinin ifade edildiği, başvuru ekinde yer alan ve Şirket tarafından ilgili kişinin cep telefonu numarasına gönderildiği anlaşılan kısa mesajda “E-devlet şifreniz ile beraber en yakın şubemize gelmenizi rica ederiz. (Sipariş no, kayıt tarihi:16.01.2022, ürünler başlıkları ile)” ifadelerinin yer aldığının görüldüğü,
Veri sorumlusunun savunmasında; ihbar edenin Şirket ile tüketici finansmanı sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat etmesinin istendiği ve ilgili kişi tarafından sözleşmenin iptal edildiği, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunlu olduğu, bu bilgilerin e-Devlet sistemi üzerinden temin edileceği, e-Devlet şifresinin talep edilmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına şifreyi kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden girmek suretiyle talep edilen kayıtların gösterilmesinin istendiği, ilgili kişinin kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği hususlarını belirtmiş olduğu,
İlgili kişi ve veri sorumlusunun beyanları ile Kuruma sunulan belgelerden; ilgili kişinin veri sorumlusu ile tüketici finansmanı (kredisi) sözleşmesi yaptığı, ilgili kişiye iletilen kısa mesajda ilgili kişinin e-Devlet şifresi ile beraber şubeye çağırıldığı, ilgili kişinin ise e-Devlet şifresinin kullanılmasına yönelik rızası olmadığından sözleşmeyi iptal etmek istediğinin anlaşılmakta olduğu,
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğinin dikkate alınması gerektiği, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmesi ve gerekli teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiği,
Bununla birlikte Kişisel Veri Güvenliği Rehberi’nde veri sorumlularınca alınabilecek idari tedbirlerin; “kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen arasında), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), veri sorumluları sicil bilgi sistemine (VERBİS) bildirim” şeklinde örnek teşkil etmesi amacıyla ifade edildiği,
Bu kapsamda, ihbara konu edilen e-Devlet şifresi istenmesi beyanına ilişkin gerek resen inceleme kapsamındaki ihbarlar gerekse veri sorumlusuna ilişkin kamuya açık kaynaklarda yer alan şikayetler ele alındığında veri sorumlusunun kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına ilişkin güçlü bir kanaat oluştuğu, bilhassa senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle ilgili kişilerin e-Devlet kapısında yer alan kendileriyle ilgili her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları; ayrıca veri sorumlusunun ihbara konu olayda veri güvenliğinin sağlandığına yönelik yeterli bilgi ve belgeyi de sunamadığı,
Öte yandan veri sorumlusunun e-Devlet şifrelerinin talep edilmesine ilişkin savunmasında, bir taraftan ilgili kişiler ile akdettiği tüketici kredisi sözleşmesi sebebiyle işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşteriyi en yakın şubeye davet ettiğini belirtirken diğer taraftan e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığını, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığını, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığını ifade etmiş olduğu,
Resen inceleme kapsamındaki iki dosyaya ilişkin veri sorumlusunca -aynı konu kapsamında- Kuruma sunulan bilgi ve belgelerin bütünlük ve tutarlılık içinde olmadığı, kişisel verilerin işlenmesi suretiyle kurulan sözleşmelere ilişkin hususların Kanun kapsamında ifade edilemediği,
Veri sorumlusu tarafından yürütülen veri işleme faaliyetlerinde ilgili kişilerden e-Devlet şifresi talep edilmesine ilişkin kamuoyuna yansıyan çok sayıda şikayet olduğu, resen inceleme dosyalarında veri sorumlusu tarafından e-Devlet şifresi hakkında sunulan beyanların da birbiri ile tutarlı bir çerçevede olmadığı, veri sorumlusunun ülkemizde çok sayıda mağazası olan - tüketici finansman kredisiyle alışveriş imkânı sunan/taksitle satış yapan- bir şirket olduğu, Kuruma sunulan ihbarlar dışında taksitli satışlarda ilgili kişilerden e-Devlet şifresi istendiğine ilişkin şifahi bilgiler de edinildiği, e-Devlet şifresinin ele geçirilmesi durumunun veri güvenliğine yönelik ciddi riskler ortaya çıkarabileceği hususlarının tümünün idari teknik tedbirleri alma noktasında eksikliği olduğu kanaatine varılan veri sorumlusu hakkında uygulanacak idari yaptırımda artırım sebepleri olarak ele alınabileceği,
İnternette yer alan açık kaynaklarda, veri sorumlusundan yapılan taksitli alışverişlerde ilgili kişilerin e-Devlet şifrelerinin alındığına dair pek çok şikayet olduğunun görülmesi, konuya ilişkin Kuruma da intikal eden farklı şikayetler olması, e-Devlet şifrelerinin talep edildiği her olayda tüm müşterilerin e-Devlet şifrelerini kendi telefonlarından açıp göstermesinin söz konusu olmayabileceği dikkate alındığında Şirket bilgisayarları aracılığıyla görüntüleme yapılmış olmasının mümkün olduğu

değerlendirmelerinden hareketle;

İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,
Hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilerek sonucundan Kurula bilgi verilmesine

karar verilmiştir.

05.Ocak.2023: “Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması”

Karar Tarihi	:	05/01/2023
Karar No	:	2023/4
Konu Özeti	:	Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması

İlgili kişinin şikayetinde özetle; bir e-ticaret firmasından satın aldığı ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde kendisi dışında isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, veri sorumlusu kargo firmasına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında başvuruda bulunarak kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevabi yazıda söz konusu durumun barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiğinin ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edildiğinin belirtildiği, söz konusu beyanlardan hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varıldığı, bu itibarla veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;

Şikâyete konu olayın meydana geliş şekline ilişkin olarak; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği, bu nedenle bir diğer müşterileri olan üçüncü kişinin kargosunun ilgili kişiye, ilgili kişinin kargosunun ise üçüncü kişiye teslim edilmek üzere barkodlandığı ve bu şekilde ulaştırıldığı, işlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği,
Gerçekleştirilen bu eylemin sistematik bir hata olmadığı, veri sorumlusunun acente çalışanları tarafından manuel olarak gerçekleştirilen barkodlama işlemi sırasında bir kereye mahsus olmak üzere sehven ortaya çıkan bir olay olduğu,
Veri sorumlusunun müşterilerine ait kişisel verileri yalnızca taşıma hizmetinin ifası için ilgili birimlerle, ifa yardımcılarıyla, Bilgi Teknolojileri ve İletişim Kurumu, talep halinde Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve kanunen kişisel verileri talep etmeye yetkili kamu kurumları ile paylaştığı,
Bu çerçevede ilgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği ve güncellendiği,
Veri sorumlusunun taşıma hizmeti kapsamında belli bilgileri kargo/gönderi üzerine yazmasının Karayolu Taşıma Kanunu’nun 43’üncü maddesi gereğince bir yükümlülük olduğu, dolayısıyla alıcıların isim ve adres bilgilerinin kargo üzerinde yazdığı,
Veri sorumlusunun belli taşıyıcılık faaliyetlerini, akdettiği acentelik sözleşmeleri vasıtasıyla yürüttüğü, şikâyete konu işlemin de bir acentenin istihdam ettiği personel tarafından yapıldığı,
Veri sorumlusunun hizmetlerin güvenliği konusunda hassas davrandığı ve mezkûr vakıada da kasıtlı bir eyleminin bulunmadığı, kargo dağıtım süreçlerinde istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için acentelere ve ilgili tüm birim personeline gerekli bildirimlerin sıklıkla gerçekleştirildiği, çalışanlara yükümlülükleriyle ilgili düzenli eğitimlerin verildiği ve farkındalık çalışmaları yapıldığı, nitekim söz konusu acentenin çalışanlarına da kişisel verilerin korunmasına ilişkin muhtelif tarihlerde eğitimler verildiği, belirli aralıklarla hatırlatma SMS’leri gönderildiği,
Veri sorumlusu tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği, firmalarının bilgi ve kişisel veri güvenliği konusunda da uluslararası standartları haiz bir kurum olduğu, kişisel verilerin korunmasının ve ilgili yasal mevzuata uyumun öncelikli önem verdiği değer ve politikalar arasında olduğu, bu konunun en önemli bölümlerinden birini müşterilerinin kişisel verilerinin korunmasının oluşturduğu,
İzah ettikleri üzere yaşanan olayda veri sorumlusunun kasıtlı bir eyleminin bulunmadığı, tekrarlanmaması için gerekli hassasiyet ve özenin gösterileceği

bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun, (5) numaralı fıkrası gereğince de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğinin hükme bağlandığı,
İlgili kişiye ait isim, soy isim ve adres bilgilerinin ilgili kişiyi belirli veya belirlenebilir kılmaya yeterli olduğu, bu yüzden, bahsi geçen bilgilerin Kanun’un 3’üncü maddesindeki tanım uyarınca “kişisel veri” niteliğini haiz olduğu, ilgili kişiye ait mezkûr kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi ve sair fiillerin Kanun’un 3’üncü maddesindeki tanım kapsamında birer “kişisel verilerin işlenmesi” faaliyeti olduğu,
Veri sorumlusu ile acente arasında akdedildiği belirtilen “acentelik sözleşmesi” de dâhil olmak üzere taraflarca dosyaya sunulan bilgi ve belgelerin, somut olayda mezkûr acentenin Kanun hükümleri karşısında “veri sorumlusu” olarak kabul edilebilmesine yetecek nitelikte olmadığı, zira taraflar arasında akdedilen acentelik sözleşmesinde söz konusu acentenin faaliyetlerini veri sorumlusunun nam ve hesabına yürüttüğünün açık bir şekilde düzenlenmiş olduğu, bu şartlarda acentenin, Kanun’un 3’üncü maddesinde yapılan tanımlar itibarıyla ancak “veri işleyen” sıfatını haiz olduğu,
Veri sorumlusunun uhdesinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan bir zorunluluğu bulunduğu, bu yüzden, veri sorumlusunun savunmasında almış olduğunu beyan ettiği kişisel verilerin korunmasına ilişkin tedbirlerin Kanun’un 12’nci maddesinin (1) numaralı fıkrasının birer gereği olduğu,
Somut olayda, ilgili kişiye ait isim, soy isim ve adres kişisel verilerinin, veri sorumlusunca türleri/nitelikleri dikkate alındığında ancak Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılarak ve 4’üncü maddesinde zikredilen genel ilkelere uygun olarak işlenebileceği,
İlgili kişiye ait isim, soy isim ve adres kişisel verilerinin veri sorumlusu tarafından üçüncü şahısla paylaşılmasından ibaret olan kişisel veri işleme faaliyetinin yeni/müstakil bir kişisel veri işleme faaliyeti olduğu ve söz konusu kişisel veri işleme faaliyeti açısından da Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılmış olması gerektiği,
Veri sorumlusunun 4925 sayılı Karayolu Taşıma Kanunu’nun 43’üncü maddesine atıf yaptığı savunmasından, veri sorumlusunca ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendindeki “kanunlarda açıkça öngörülmesi” hukuki şartına dayanıldığının anlaşıldığı, buna karşın, yapılan inceleme neticesinde, veri sorumlusunun atıf yaptığı 4925 sayılı Karayolu Taşıma Kanunu’nun toplamda 38 (otuz sekiz) maddeden ibaret olduğunun görüldüğü; bu yüzden de 4925 sayılı Karayolu Taşıma Kanunu içerisinde veri sorumlusunun beyan ettiği 43’üncü maddenin tespit edilemediği, ayrıca, taşıma hizmeti kapsamında alıcıların isim ve adres bilgilerinin kargo üzerine yazılmasını gerektiren bir yükümlülüğün mevzuatta öngörülmüş olmasının, veri sorumlularının somut olayda olduğu gibi kişisel verileri hatalı olarak işlediği (aslında kargoyla alakası olmayan ilgili kişilerin kişisel verilerinin kargo paketi üzerine yazıldığı) durumlarda geçerli bir kişisel veri işleme sebebi/şartı olarak kabul edilemeyeceği, dolayısıyla, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verilerinin “çapraz barkodlama hatası” yapılarak üçüncü bir kişi ile paylaşılması suretiyle yürütülen kişisel veri işleme faaliyetinde Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şartına dayanılmadığı sonucuna ulaşıldığı,
Veri sorumlularının uhdelerinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan zorunluluğa uymamaları halinde, ortaya bir veya daha fazla “kişisel veri ihlali” çıkmasının ihtimal dâhilinde olduğu, kişisel veri ihlali durumlarında ise veri sorumluları tarafından Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen “veri ihlal bildirimi” yolunun işletilmesi ve “ilgili kişilere ve Kurula bildirim yükümlülüğü”ne uyulması gerektiği,
Bu çerçevede ilgili kişinin kişisel verilerinin üçüncü kişiyle paylaşılmasının yeni bir kişisel veri işleme faaliyeti olduğu, buna karşın söz konusu kişisel veri işleme faaliyetinin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin ise Kanun’un kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını zorunlu kılan 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.

19.Ocak.2023: “İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi”

Karar Tarihi	:	19/01/2023
Karar No	:	2023/78
Konu Özeti	:	İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi

İlgili kişinin Kuruma intikal eden dilekçesinde özetle;

İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı,
İlgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği,
Bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı,
Konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde öncelikle ilgili avukatlık ortaklığından savunması istenilmiş olup alınan cevabi yazıda özetle;

GSM operatörü tarafından kendilerinin abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak hizmet sözleşmesi ve vekâlet ilişkisi kapsamında yetkilendirildiği, GSM operatörü tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip oldukları, bu doğrultuda taraflarının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak gerçekleştirilen kısa mesaj gönderme faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ğ) bendi uyarınca veri işleyen konumunda olduğu, ilgili kişinin avukatlık ortaklığına başvuru hakkı bulunmadığı ve şikâyetinin usulden reddinin gerektiği,
Nitekim söz konusu şirket ile aralarında imzalanan sözleşmede de avukatlık ortaklığının veri işleyen sıfatı ile sorumlu olacağına ilişkin hükme yer verildiği,
Avukatlık ortaklığı olarak vekili oldukları şirket adına, müvekkillerinin haklarını ve menfaatlerini korumak amacıyla ve bu anlamda Avukatlık Kanunu'ndan doğan yükümlülüklerini ve yürütmekte olduğu icra işlemleri bakımından 2004 sayılı İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebepleri çerçevesinde işledikleri,
Belirtilen 4 farklı telefon numarasının ilgili kişinin iletişim numarası olarak avukatlık ortaklığına veri sorumlusu GSM operatörü tarafından iletildiği ve avukatlık ortaklığının da "veri işleyen" sıfatıyla bu numaralara bilgilendirme kısa mesajı gönderdiği, bu bağlamda avukatlık ortaklığının söz konusu şirket tarafından erişim imkânı sağlanan borçlulara ait iletişim numaralarının kaynağını sorgulama yetkisinin bulunmadığı,
İlgili kişinin iletişim numarası olarak bildirilen numaralara yalnızca bir kez kısa mesaj gönderimi yapıldığı, bu kısa mesajın içeriğinde ise ilgili kişiye ilişkin kişisel verilerin paylaşılmadığı ve ilgili kişinin isminin maskelenerek paylaşıldığı

ifade edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu GSM operatöründen de savunması istenilmiş olup alınan cevabi yazıda özetle;

Veri sorumlusu olarak avukatlık ortaklığı ile hukuki ilişkileri kapsamında ve borcun tahsili amacıyla yalnızca ilgili kişi borçluya ilişkin kimlik, iletişim ve borç bilgilerini içeren verilerin paylaşıldığı,
Şikâyete konu telefon numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/78 sayılı kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Şikâyete konu olayda avukatlık ortaklığı tarafından sunulan savunmada veri sorumlusu müvekkilleri ile aralarındaki sözleşme gereği veri sorumlusu sıfatını haiz olmadıkları belirtilmişse de veri sorumlusu sıfatını tayin etmede Kanun çerçevesinde yapılacak değerlendirme için bu sözleşmede yer alan nitelendirmenin esas alınamayacağı; bununla birlikte ilgili kişiye ilişkin kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan, ilgili kişinin ortağı olduğu şirkete ait iletişim numaralarını borcun tahsili amacı ile avukatlık ortaklığı ile paylaşan GSM operatörü şirketin, “veri sorumlusu”; veri sorumlusunun verdiği talimat çerçevesinde ilgili kişiye ait olduğu belirtilen iletişim numaralarına borcun tahsili amacıyla kısa mesaj gönderen avukatlık ortaklığının ise veri işleyen olarak tanımlanabileceği,
Her ne kadar avukatlık ortaklığı tarafından ilgili kişi borçlunun soyadının yıldızlı bir şekilde yazıldığı ifade edilse de adının tamamı ve soyadının baş harfinin yer alması ile mesajın ilgili kişinin ortağı olduğu şirkete ait telefon numaralarına gönderilmesinin ilgili kişiyi belirlenebilir kıldığı,
Kanun’da, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği; bu kapsamda, ilgili kişinin şirket hattı olan cep telefonu numaralarına gönderilen adı, soyadı, borçlu olduğu firma ve hakkında icra takip işlemlerinin başlatılacağı bilgilerini ihtiva eden kısa mesajın ilgili kişiye ait kişisel verileri içerdiğinin anlaşıldığı,
Avukatlık ortaklığının savunmasında, veri sorumlusu ile arasındaki vekâlet ilişkisine binaen müvekkilinin alacaklarının takibini gerçekleştirdiği, ilgili kişiye ilişkin tüm iletişim numaralarının veri sorumlusu tarafından irtibat bilgisi olarak paylaşıldığının belirtildiği; veri sorumlusunun savunmasında ise alacağın tahsili için zorunlu olan veriler dışında avukatlık ortaklığına başkaca kişisel veri aktarılmadığının, şikâyete konu GSM numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğunun ifade edildiği,
İlgili kişinin ortağı olduğu şirkete ait kurumsal iletişim numaralarının Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu ile arasındaki bireysel sözleşmelere ilişkin iletişim numarası olarak da kullanılabileceğine dair ilgili kişinin açık rızasının alındığını tevsik eden bilgi ve belgeye savunma ekinde rastlanmadığı,
Her ne kadar Kanun kapsamında tüzel kişiye ait telefon numaraları kişisel veri olmasa da veri sorumlusu tarafından ilgili kişinin ortağı olduğu şirkete ait kurumsal telefon numaralarının ilgili kişinin iletişim numarası olarak avukatlık ortaklığı ile paylaşılmasının, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendine aykırı olarak ilgili kişiye ilişkin kişisel verilerin doğru bir şekilde işlenmediği şeklinde değerlendirileceği, bu nedenle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı

değerlendirmelerinden hareketle;

İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

23.Aralık.2022: “Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması”

Karar Tarihi	:	23/12/2022
Karar No	:	2022/1358
Konu Özeti	:	Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde sitenin işletilmesinden sorumlu veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Söz konusu internet sitesinin şirkete ait olduğu ancak Türkiye’deki operasyonlarından başka bir şirketin sorumlu olduğu,
KVKK aydınlatma metnine sitede paylaşılan link aracılığı ile ulaşılabildiği ve bu metinde kişisel verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu,
Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğu olduğu, bu bilgilerin satıcıların kendi kabulleri ile siteye girildiği ve yalnızca satış esnasında oluşan komisyon sözleşmesi sebebiyle alındığı, alınan bilgilerin yalnızca sözleşme kapsamında doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından siteye iletildiği,
İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin işlenmesinin veri sorumlusu açısından zaruri olduğu,
Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği,

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1358 sayılı Kararı ile;

Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun belirtildiği,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasının ise; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
Öte yandan, bir internet sitesinin düzgün çalışması için zorunlu çerezler vasıtasıyla kişisel verilerin işlenmesinde kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu, “kesinlikle gerekli çerezler”in internet sitesinin düzgün çalışması için gerekli çerezler olduğu, ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği, “kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
İlgili kişinin iddiaları kapsamında yapılan incelemede sitenin ziyaret edilerek çok sayıda çerezin mevcut olduğunun görüldüğü bu çerçevede herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için veri sorumlusu tarafından açık rıza alma yoluna gidilmediğinin tespit edildiği,
Ayrıca veri sorumlusunun bahse konu internet sayfasında işlemekte olduğu çerez verilerine yönelik olarak kullanıcıların siteye ilk ziyareti sırasında Kanun’un 10’uncu maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmesi gerektiği, sitede yer alan üyelik formu sayfasına KVKK Aydınlatma Metninin eklendiği ve link bağlantısı ile site ziyaretçilerine sunulduğu ancak metnin Kanun’da ve Tebliğde yer alan zorunlu unsurları taşımadığı ve kullanıcı verilerinin yurt dışına aktarıldığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
Sitede çerezlerle işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

23.Aralık.2022: “Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi”

Karar Tarihi	:	23/12/2022
Karar No	:	2022/1357
Konu Özeti	:	Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin iddialarının asılsız olduğu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amacıyla şikâyette bulunduğu,
İlgili kişinin spor salonunda hizmet almak üzere üyelik sözleşmesi imzaladığı ve bu sözleşmede yer alan kişisel verileri dışında başka verisinin işlenmediği,
Üyelik sözleşmesinin ilk sayfasında yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına, ilgili kişinin “Okudum, anladım, onaylıyorum” şeklinde imzalı onay verdiği ve bu suretle söz konusu verilerin işlenmesinin kendisi tarafından da kabul edilmiş olduğu,
Spor salonu üyelerinin kendi talepleri olmadıkça boy ve kilo gibi verilerinin alınmadığı, nitekim sözleşmede “anılan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artışı veya sağlığının iyileştirilmesi gibi konularda herhangi bir yazılı veya sözlü taahhüdü bulunmamaktadır.” ibaresinin yer aldığı,
Dolayısıyla veri sorumlusunun, üyelerin kilo ve boy gibi verilerini kaydetmediği, zira bu hususlarda bir yükümlülüğünün bulunmadığı, aksi bir durumun yalnızca üyenin talebi ve rızası ile mümkün olduğu ancak somut olayda ilgili kişiye ait bu nitelikte bir veri girişinin bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun; (3) numaralı fıkrasında ise, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11’inci maddede sayılan diğer haklar konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
İlgili kişinin şikayetinde, üyeliği kapsamında özel nitelikli kişisel verileri dahil olmak üzere veri sorumlusu tarafından işlenen diğer kişisel verilerine yönelik Kanun’un 10’uncu maddesi kapsamında aydınlatmada bulunulmadığı ve sağlık verileri ile biyometrik veriler için de açık rıza alınmadığını iddia ettiği, ilgili kişi tarafından şikâyete ek olarak üyelik sözleşmesinin bazı sayfalarının bir örneğinin de Kuruma sunulduğu, bu çerçevede şikâyete konu olaydaki sözleşme incelendiğinde, işlenen kişisel verilere ilişkin herhangi bir aydınlatmanın yer almadığının görüldüğü, bu çerçevede Kanun’un 10’uncu maddesinde yer verilen yükümlülüğün yerine getirilmesi amacıyla üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metninin veri sorumlusunca sunulması gerektiği,
Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı,
Veri sorumlusunun savunmasında beyan edildiği üzere, sözleşme metninde yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına onay verilmesinin ilgili kişi tarafından kişisel verilerinin işlenmesine açık rıza verildiği anlamına gelmediği, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğu, bununla birlikte ilgili kişilerin tercihlerinin metne yansıtılmasını teminen söz konusu seçenekle birlikte “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de üyelik sözleşmesinde sunulması gerektiği,
Diğer yandan ilgili kişinin, yağ ve kilo performans ölçümleri, hastane ziyaret sıklığı, boy uzunluğu vb. verilerinin yanı sıra salon girişinde biyometrik veri olan parmak izinin alındığına yönelik iddiasını tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadığı,
İlgili kişinin, spor salonu içerisinde üyelere ait bilgi kartlarının herkes tarafından kolayca ulaşılabilir durumda bulunduğu, bu kartların uygun biçimde saklanmadığı ve zaman zaman kaybolduğu, salon içerisindeki güvenlik kamerası görüntülerine yetkisiz kişilerce erişilebildiği ve ilgili kişinin birtakım davranışlarının bu görüntülerle eşleştirildiği yönündeki iddialarına ilişkin tevsik edici bilgi ve belge sunamadığı ve veri sorumlusundan alınan savunmada da bu iddiaların reddedildiği,
Şikâyet konusu olaya ilişkin olarak ilgili kişi tarafından veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediğinin bu anlamda veri sorumlusunun, kendisine yapılan başvuruyu Kanun’un 13’üncü maddesinin (2) numaralı fıkrası kapsamında sonuçlandırma yükümlülüğüne uygun davranmadığının görüldüğü,

değerlendirmelerinden hareketle;

Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin Kanun’un 11’inci maddesi uyarınca bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına,
İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına

karar verilmiştir.

19.Ocak.2023: “Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi”

Karar Tarihi	:	19/01/2023
Karar No	:	2023/86
Konu Özeti	:	Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi

Kuruma intikal eden şikâyette özetle;

İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu,
Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle ilgili kişi tarafından işe iade davası açıldığı ve aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu,
Şirket tarafından verilen cevabın yeterli olmadığı, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, ayrıca bu durumun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci maddesine de aykırılık oluşturduğu,
Şirketin kendi yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği”ne de aykırı davrandığı, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği,
e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı,
Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı

ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin şirket bünyesinde “Pazarlama ve İç İletişim Yöneticisi" olarak görev yaptığı ve iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı ve yine kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği, şirketin bu eylemden denetim esnasında haberdar olduğu,
İlgili kişinin gerek gizlilik ve kişisel verilerin korunması mevzuatına dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, kendisinin işveren nezdinde, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilerine hukuka aykırı olarak erişilmesini engellemek; kişisel verilere, üçüncü kişiler tarafından erişilmesini ve paylaşılmasını da engelleyerek güvenli bir şekilde korunmasını sağlamak; kişisel verilerin üçüncü bir tarafla paylaşılması gereken süreçlerde gerek Kanun gerekse Kişisel Veri Koruma Politikası ile şirket tarafından belirlenen diğer ilke ve kararlar uyum hususunda azami özeni göstermek ve olağan iş akışı dışında değerlendirilebilecek şüpheli paylaşımları şirket içinde ilgili birimlere bildirmek hususunda görevlendirdiği kişi konumunda olduğu,
İlgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği ve iş akdinin haklı nedenle feshedildiği, ilgili kişinin iş akdinin feshi üzerine şirket aleyhine işe iade davası ikame ettiği,
Kurumun ilgi yazısında dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı, bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları,
İlgili kişinin kişisel verilerinin hukuka aykırı işlendiğine yönelik iddialarına ilişkin cevaplar ile işlemenin esasına, amacına ve hukuki sebeplerine ilişkin olarak; ilgili kişinin, ticari verileri havi kaydı şirket hakimiyet alanı dışına çıkarmak ve başka bir çalışanın ses kaydını izinsiz şekilde kayda alıp kendi şahsi e-posta hesabı ile üçüncü bir kişiye aktarmak şeklinde gerçekleşen hukuka aykırı tutumunu bastırmak ve hukuki ihtilafta lehine delil yaratmak adına, şirketlerinin bu olaya vakıf olma durumunu sorgulamakta olduğu,
Buna karşın şirketlerinin ilgili kişinin verilerini otomatik olan ve/veya olmayan yöntemlerle işlemek suretiyle ilgili kişi aleyhine hiçbir dönem hukuka aykırı bir ihlal gerçekleştirmediği, nitekim şirketlerinin çalışanlarının mevzuata, şirket politikalarına, gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine, disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu, mevcut çalışanları arasındaki ilişkileri gözetmek ve tüm çalışanlarının kişisel haklarını korumakla mesul olduğu, şirketlerinin iletişim sistemlerinin ve ekipmanlarının kullanımının, kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmaların güvenliğinin sağlanması, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebileceği hususunda ilgili kişinin, Çalışanlara Ait Kişisel Verilerin İşlenmesine Dair Politika, Çalışan Aydınlatma Metinleri ve muhtelif iç düzenlemeler kapsamında müteaddit kereler bilgilendirildiği,
Şirketlerinin mahrem bilgi ve sırları hakkında bilgi edinme olanağına sahip, bu bilgileri kendi veya rekabet gücü bulunan farklı bir firma adına ekonomik bir değer olarak kullanabilecek duruma gelen çalışanlarına getirilen gizlilik yükümlülüklerinin şirket iç düzenlemelerinde ve ikili sözleşmelerde yer aldığı, bu düzenlemelere uyumun şirketlerinin ticari mevcudiyetini koruması, hizmet hacmi ve piyasadaki rekabet gücünde telafisi imkânsız zararların oluşmaması yönünden hayati önem taşıdığı,
Şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikasında, Bilgi ve Yazılım Alışverişi Politikasında, Kabul Edilebilir Kullanım Politikasında düzenlendiği, tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu,
Nitekim, Kurulun da şirket sunucularından şirket e-posta hesabı üzerinden gerçekleştirilen yazışmalara erişim sağlanmasında hukuka aykırılık görülmediğine dair kararlarının mevcut olduğu ve bunlarda; "şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan e-postaların kişisel içerik taşımayacağının" vurgulandığı,
Bu kapsamda iç düzenlemelere uyumun had safhada önem arz ettiği, şirket bilgilerinin, özel kalıp tasarımlarının şirket dışına aktarımı ve e-posta iletişim politikalarına uygunluğu kapsamında kişi bazında e-posta hesaplarının, şirket dışı iletişimleri ve aktarımlarının denetlenmesi yönünde örneklem tekniğiyle incelendiği, bu denetim sırasında çalışan kurumsal e-posta hesabı - çalışan şahsi e-posta trafiğinde şikayetçinin gerçekleştirdiği aktarım şüpheli görülerek, iki adet e-posta gönderisinin içeriğine girildiği ve netice ile mağaza bilgilerinin ilgili kişiye ait kurum e-posta adresinden ilgili kişinin kişisel e-posta adresine iletildiği ve şirket çalışanı ile gerçekleştirilen telefon görüşmesi kaydının yine kurumsal e-posta adresinden ilgili kişinin kişisel e-posta adresine ve üçüncü bir kişiye aktarıldığına dair bulguların elde edildiği,
Kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin 6698 sayılı Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan; "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve (f) bendinde yer alan "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" veri işleme şartlarına dayalı olarak gerçekleştirildiği ve Kanun’un ilgili maddelerindeki şartları sağlayan bu işleme faaliyeti için açık rıza alınmasını gerektirir hallerin istisnası kapsamında kaldığı, kaldı ki elde edilen bulgu ve olası sonuçlarının da, işleme faaliyetinin şirketlerinin haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini ortaya koyduğu kanaatinde oldukları,
Şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin, hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak; güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği ve yine yukarıda bahsedilen muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği, bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı,
Ayrıca bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, Kurumsal Denetim Aktivite Raporunun Teknoloji birimi/unvanlı Bilgi Güvenliği Teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/86 sayılı kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu,
İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği,
17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı,
Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu,
Madde 29 Çalışma Grubu’nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği,
Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu,
Öte yandan, ilgili kişi tarafından aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu,
E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu,
Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak; veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği,
Veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddiasına ilişkin olarak; e-posta denetimi aracılığıyla elde edilen kişisel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
Öte yandan, İş Kanunu'nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü süreler geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu iddiaları ile ilgili olarak; İş Kanunu’nun “Derhal fesih hakkını kullanma süresi” başlıklı 26’ncı maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı

değerlendirmelerinden hareketle;

İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı

hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

Veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına,

E-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı, bu kapsamda, ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

12.Ocak.2023: “Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi”

Karar Tarihi	:	12/01/2023
Karar No	:	2023/67
Konu Özeti	:	Bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi

İlgili kişi tarafından Kuruma intikal ettirilen dilekçede özetle;

Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği,
Veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda üçüncü kişinin e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği yönünde beyanda bulunulduğu, veri sorumlusu tarafından, 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ve 2020 yılına ilişkin hayat sigortası formlarında, söz konusu e-posta adresinin yer almasına karşın ilgili kişinin itiraz etmeksizin bu formlara onay verdiğinin öne sürüldüğü ve veri ihlali yaşanmadığının iddia edildiği,
Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin, ilgili kişinin şahsi vekili olmadığı, diğer taraftan uyuşmazlığa konu olan hususta, e-posta adresinin ilgili kişinin şahsına ait olduğu varsayımında dahi, yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, ayrıca gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu,
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesi uyarınca kişisel verilerin doğru ve güncel olması gerektiği, bu hususta veri sorumlusunun aktif özen yükümlülüğünün bulunduğu, veri sorumlusu tarafından ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalların açık tutulması gerektiği, veri sorumluları tarafından üçüncü kişilerin telefon numarası, e-posta adresi gibi kanallarına, ekstreleri vb. kişisel veri içeren belgelerin gönderilmesini önlemek ve bu iletişim adreslerinin doğruluğunu teyit etmek amacıyla veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınmasının zorunlu olduğu, veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği,
Veri sorumlusu tarafından daha sonraki tarihlerde ilgili kişiye sunulan tüm sözleşme, teklif ve formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı

belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.

Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin ortağı olduğu şirketin banka müşterilerinden biri olduğu, ilgili kişinin ortağı olduğu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için Findeks üyeliği gerektiğinden firmaya Findeks üyeliği oluşturulduğu, Findeks üyeliği oluşturmak için firma yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına, şikâyete konu olan e-posta adresinin tanımlandığı, Findeks üyelik formunun firma yetkililerinin banka sistemindeki iletişim bilgileri ile doldurulduğu ve firma yetkilileri tarafından imzalandığı,
Somut olayda Findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği,
İlgili e-posta adresi verisinin, Findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğu, bu kapsamda söz konusu kişisel verinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca işlendiği, dolayısıyla “açık rıza alınmadığı” şeklindeki iddiaların yersiz olduğu,
Türkiye Bankalar Birliği öncülüğünde sektör ve Kurul tarafından hazırlanmış olan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere; her bir kredi kullandırma işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil, kolayca erişilebilecek şekilde ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabildiği,
Gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verisinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği,
İlgili kişinin, e-posta adresinin silinmesi talebini bankaya iletmesi üzerine aynı gün içerisinde ilgili kişinin hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte, söz konusu hatalı e-posta adresine gönderilen e-postalar incelendiğinde, gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT/havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediğinin görüldüğü, bu yüzden şikâyetçinin kişisel verilerinin hukuka aykırı şekilde üçüncü kişilerle paylaşıldığı iddiasının mesnetsiz olduğu,
İlgili kişinin onayı ve teyidi sonrası gönderilen e-postalar için Kanun’a ve Türk Ceza Kanunu’na (TCK) aykırılık iddiasının söz konusu olamayacağı, zira halihazırda Kanun’un 5’inci maddesinde yer alan hukuka uygunluk sebepleri çerçevesinde işlenmiş olan ve Kanun’un 11’inci maddesi çerçevesinde doğruluğu teyit edilmiş bir e-posta adresine gerekli tüm teknik ve idari tedbirler alınarak; veri sorumlusunun hukuki yükümlülüğü çerçevesinde, ilgili kişinin talebi doğrultusunda e-posta iletilmesinin hem Kanun hem de TCK kapsamında ihlal olarak değerlendirilemeyeceği,
İlgili kişinin kişisel verisinin yanlış ibrazından haberi olmadığı ve fark etme/düzeltme imkânı tanınmadığı iddiasının mesnetsiz olduğu,
Doktrinde de açıkça ifade edildiği gibi ana kuralın ilgili tarafından doğru veri iletilmesi olduğu ve Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi hakkının kullanılabilmesi için veri sorumlusunun ilgili kişiye gerekli ortamı sağlama yükümlülüğünün bulunduğu,
Verinin doğruluğu ve güncelliği için ilgili kişiye her türlü imkânın sağlanarak başvuru kanalının açıldığı, ilgili kişinin imzaladığı evrakta gördüğü e-posta adresine işlem esnasında itiraz etme olanağının bulunduğu,
Veri sorumlusunun kayıtlarında yapılan incelemede, şikâyete konu olan e-posta adresine ilk e-posta gönderiminin 2018 yılında gerçekleştiği, son e-posta gönderiminin ise 2021 yılında gerçekleştiğinin tespit edildiği,
İlgili kişiye ilişkin hatalı e-posta adresine 2020 yılına kadar herhangi bir kişisel veri iletilmediği ve yalnızca tüzel kişiye ait bilgilerin iletildiği, bu yüzden Kanun kapsamında giren herhangi bir durumun söz konusu olmadığı, 2020 yılından sonra gönderilen e-postaların ise halihazırda onay ve teyit alınarak gönderildiği,
Yapılan incelemelerde gönderilen e-postaların tamamının müşterinin sisteminde kayıtlı olan adresine sistem tarafından gönderilen e-postalar olduğunun belirlendiği, söz konusu e-posta adresine sistem haricinde personel tarafından herhangi bir gönderim yapılmadığının tespit edildiği,
Tüm bu sebeplerle hukuka aykırı veri paylaşımı yapıldığı, ilgili kişiye kişisel verilerini düzeltme ve yanlışlığı fark etme imkânının tanınmadığı iddiasının gerçek dışı olduğu,
Kişisel verilerin işlenmesi noktasında her türlü önlemin alındığı, Kanun’un 4’üncü maddesinde yer alan ilkelere uygun davranıldığı ve taleplerine ilişkin olarak ilgili kişilerin her türlü kanaldan ulaşması için imkân sağlandığı

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/01/2023 tarih ve 2023/67 sayılı Kararı ile;

Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un "Kişisel Verilerin İşlenme Şartları" başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
Kişisel verilerin işlenmesinde Kanun’un 4’üncü maddesi uyarınca temel ilkelere uyumluluğun zorunlu olduğu, “doğru ve gerektiğinde güncel olma” ilkesinin de veri sorumluları tarafından uyulması zorunlu bu temel ilkelerden bir tanesini teşkil ettiği, Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı’nda da “doğru ve gerektiğinde güncel olma” ilkesi doğrultusunda veri sorumlusunun makul önlemler alması gerektiğinin belirtildiği, anılan İlke Kararı ile veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına karar verildiği, kişisel verilerin doğru ve güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyması halinde geçerli olduğunun değerlendirildiği, bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği,
Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, somut olaya konu olan işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği,
Öte yandan, hatalı e-posta adresine giden bildirimlerin kişinin hesap hareketlerinin üçüncü bir kişiye açıklanmasının yanı sıra olası dolandırıcılık olaylarında hesaptan, hesap sahibinin bilgisi dışında para çekilmesi gibi durumlardan haberdar olunamaması gibi sonuçlara yol açabileceğinin veri sorumlusu tarafından göz önünde bulundurulması gerektiği, ilgili kişi açısından para transferlerine ilişkin bilgilendirmelerin alınamamasının ve üçüncü kişiye gönderilmesinin hak kaybına sebebiyet verebileceği dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaları kurması gerektiği

değerlendirmelerinden hareketle

Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
“Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına

karar verilmiştir.

16.Şubat.2023: “Bir belediyenin meclis toplantısı videosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi”

Karar Tarihi	:	16/02/2023
Karar No	:	2023/224
Konu Özeti	:	Bir belediyenin sosyal medya hesabından meclis toplantısı videosunun paylaşılması suretiyle kişisel verilerinin paylaşılması

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı, bu çerçevede kişisel verilerinin ihlal edilmesine ilişkin olarak Belediyeye başvuruda bulunulduğu, ancak Belediye tarafından Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında herhangi bir hak ihlaline rastlanmadığı şeklinde cevap verildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin önceki yıllarda Belediye meclis üyesi olarak görev yaptığı, meclis üyeliği görevi çerçevesinde ilgili kişinin kişisel verilerinin yerel seçimleri müteakiben İlçe Seçim Kurulu tarafından Belediyeye iletilen asil ve yedek meclis üyelerinin isim listesi çerçevesinde işlenmeye başlandığı,
İlçe Seçim Kurulundan gelen verilerin yanı sıra mevzuat gereği belediye meclis üyesinin göreve başlayabilmesi için başta kimlik veri kategorisinde yer alan isim, soyisim ve T.C. kimlik numarası (kimlik fotokopisi) ile iletişim, özlük (mal bildirim formu), mesleki deneyim (meslek bilgileri), finans (banka hesap bilgileri), görsel ve işitsel kayıt (fotoğraf, imza ve paraf örneği, mazbata fotokopisi, belediye başkan ve meclis üyeleri bilgi formu) kategorilerinde yer alan verilerin ilgili kişinin kendisinden temin edildiği,
İlgili kişi hakkında Belediye Başkanı tarafından meclis toplantısında zikredilen dava dosyalarının Belediye Başkanının görevleri ile doğrudan ilgili olduğu ve hukuki çerçevede işlendiği, … Cumhuriyet Başsavcılığı Avukat, Noter ve Memur Suçları Soruşturma Bürosu tarafından Belediyeye gönderilen soruşturma dosyasından haberdar olunduğu ve Başsavcılığa gerekli bilgilerin ve soruşturma dosyası çerçevesinde şikayetçi sıfatıyla katılma talebinin iletildiği,
… Cumhuriyet Başsavcılığı Hazırlık Bürosundan taraflarına iletilen yazı ile Belediyeden çeşitli bilgi ve belge taleplerinde bulunulduğu, Belediye Zabıta Müdürlüğünce hazırlanan yazı ile Başsavcılığa talepleri doğrultusunda bilgi ve belgelerin gönderildiği, soruşturmanın akabinde asliye ceza mahkemesinin dosyası ile dava açıldığı ve görülmekte olan davaya Belediye adına katılma talebinde bulunulduğu,
Belediye Başkanının meclis konuşmalarında değindiği; belediye meclis üyesinin belediye ile doğrudan veya dolaylı olarak iş ilişkisine giremeyeceğine yönelik beyanlarının dayanağının ve hukuki gerekçeleri ile dava dosyaları hakkında bilgilerin yukarıda belirtilen resmi süreçler dahilinde gerçekleştiği, bu çerçevede ilgili kişinin hukuki işlem kategorisinde yer alan verilerinin hukuka uygun olarak işlendiği,
Toplantı sırasında Belediye Başkanı tarafından zikredilen cümlelerde mümkün olduğunca belli bir kişiyi işaret etmemek için özen gösterildiği, Başkan tarafından isim belirtilmeden zikredilen cümlelerin, ilgili kişinin kişilik hakları ile özel hayatının gizliliğini korumaya yönelik olduğu,
Şikâyete konu meclis toplantısının çevrim içi ortamlardaki paylaşımının, Kurul tarafından yürütülen inceleme sona erene kadar, iyi niyetin bir göstergesi olarak geçici olarak kaldırıldığı,
Kuruma sunulan aydınlatma metninde de görüleceği üzere Belediye meclis toplantılarında ses ve görüntü kaydının alındığı, bu verilerin ulusal ve yerel yayın organlarında yayımlandığına dair bilgi verildiği ve bu konuda bilgilendirmenin belediye meclis salonu girişinde herkese duyurulduğu,
5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasının ikinci cümlesinde “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmünün yer aldığı, bu hüküm doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
09/10/2005 tarihli ve 25961 sayılı Resmi Gazete’de yayımlanan Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, hükümden de anlaşılacağı üzere meclis toplantılarının şeffaflık ve katılımcılık ilkeleri gereği halka açık olduğu ve bu doğrultuda, meclis kararı ile toplantıda alınan kayıtların ulusal ve yerel kanallarda yayımlanmasının hukuka uygun olduğu, zira şikâyete konu meclis toplantısının kapalı oturum olarak yapılmasını gerektirecek herhangi bir meclis kararının da bulunmadığı,
Belediyenin meclis toplantısını kayıt altına alması ve çeşitli araçlarla halk ile paylaşmasının bir hukuki yükümlülük gereği olduğu ve katılımcıların bu konuda açık rızasına ihtiyaç duyulmadığının düşünüldüğü,
Belediye Başkanlığının kamu tüzel kişiliğini haiz bir kuruluş olduğu ve tüm iş ve işlemlerinde Anayasa ve kanunlara uygunluk ile kamu yararını en önde tuttuğu, Belediyenin sadece meclis görüşmelerini değil, yine şeffaflık ilkesi ve kamu yarının bir gereği olarak ihaleleri de kayıt altına alarak halkla paylaştığı,

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 16/02/2023 tarih ve 2023/224 sayılı Kararı ile;

6698 sayılı Kanun’da, kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin “kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
Kişisel verilerin işlenmesinin Kanun kapsamında belirli işleme şartlarına bağlandığı, buna göre Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin;
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
hükmünü haiz olduğu,
Bu çerçevede, Belediye Meclis Toplantısında ilgili kişinin adına yer verilmesi ve öncesinde sıklıkla “eski meclis üyesi arkadaşımız” ifadesi ile anılması dolayısıyla ilgili kişiyi belirlenebilir kılan nitelikte bir bilgi paylaşımının söz konusu olduğu, bu anlamda meclis toplantısının kaydedilmesi işlemi ile birlikte Belediye Başkanlığı tarafından kişisel veri işleme faaliyetinde bulunulduğunun anlaşıldığı,
Bahse konu Olağan Meclis Toplantısı videosu kaydı incelendiğinde; Belediye Başkanı tarafından ilgili kişinin dahil olduğu ve Belediyenin de müdahil olduğu dava sürecine ve dava dosyasında yer alan evraklara dair bilgiler verildiğinin tespit edildiği, aynı zamanda Belediye Başkanının yaptığı konuşma boyunca ilgili kişinin adı ve soyadının anılmadığı, sürekli olarak “eski meclis üyesi arkadaşımız” olarak bahse konu olduğu ve video kaydının bir yerinde “isim vermeyelim” uyarısında bulunulduğunun tespit edildiği, ek olarak yalnızca video kaydının bir yerinde Belediye Başkanının ilgili kişinin soyadına yer vermeksizin adını andığının tespit edildiği,
İlgili kişinin Belediye Başkanı tarafından ifade edilen dava sürecine ilişkin ifadelerinin gerçek dışı olduğu yönünde bir iddiasının bulunmadığı esas alındığında ve veri sorumlusu tarafından Kuruma iletilen evraklardan da dava sürecine ilişkin ifadelerin gerçeği yansıttığı kanaatine varıldığı,
İlgili kişinin önceden meclis üyeliği yaptığı ve ilgili kişinin bilgilerinin meclis toplantısında gündem olmasının meclis üyelerinin belediye ile doğrudan veya dolaylı şekilde iş ilişkisine giremeyeceği kuralının ihlal edildiği iddiası ile mahkeme süreci kapsamında gündeme geldiği dikkate alındığında kamuoyunun konuya ilişkin bilgilendirilmesinde ilgi ve yararının mevcut olduğunun anlaşıldığı,
Diğer taraftan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmü doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
Belediye Meclisi Çalışma Yönetmeliği’nin 11 inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, bununla beraber şikâyete konu meclis toplantısının kapalı oturum olarak yapılması yönünde herhangi bir meclis kararının da mevcut olmadığının anlaşıldığı,
Bu çerçevede belediye başkanı tarafından ilgili kişinin dava sürecine ilişkin bilgilerinin paylaşılması ve ardından adının anılması şekilde gerçekleşen somut olay yukarıda yer verilen hukuki gerekçeler kapsamında değerlendirildiğinde; Belediye Meclisi Toplantısında ilgili kişinin kişisel verilerinin yer aldığı ilgili video kaydının sosyal medya platformu üzerinde yayımlanması yönündeki veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu

değerlendirmelerinden hareketle;

İlgili kişinin Belediyesi Meclis Toplantısında kişisel verilerinin Kanun’a aykırı olarak paylaşıldığı ve ilgili video kaydının sosyal medya platformu üzerinde yayımlandığı iddiasıyla Kurula intikal eden şikâyetinin incelenmesi neticesinde; ilgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu, öte yandan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

01.Aralık.2022: “İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi”

Karar Tarihi	:	01/12/2022
Karar No	:	2022/1281
Konu Özeti	:	İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi

İlgili kişilerin (borçlu ve oğlu) aynı konuya ilişkin Kuruma intikal eden şikayetlerinde özetle; borçlu hakkında başlatılan icra takibi ile ilgili olarak oğluna ait telefon numarasının veri sorumlusu avukat tarafından defalarca aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı, konu ile ilgili olarak ilgili kişilerin veri sorumlusu avukata yaptıkları başvurunun veri sorumlusunca tebellüğ edilmesine rağmen cevaplandırılmadığı ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup alınan cevabi yazıda özetle;

Keşidecisinin borçlu baba olduğu bono sebebiyle hakkında başlatılan ve kesinleşen icra takibi neticesinde borçlunun adreslerindeki menkul ve gayrimenkulleri ile üçüncü şahıslardaki hak ve alacaklarının haczi ve haczedilecek taşınır malların muhafaza altına alınması talebiyle icra müdürlüğüne başvurulduğu ve bu talebin kabul edildiği,
Hukuk bürosunda çalışan bir avukat tarafından belirlenen tarihte haciz ve muhafaza işlemlerinin gerçekleştirilmesi adına haciz mahalli olan adrese gidilerek burada hazır bulunan borçlu ile oğluna haciz memuru tarafından geliş sebebinin mahalde anlatıldığı, bu hususun haciz tutanakları ile de sabit olduğu,
Söz konusu işlemler sürerken borçlunun haciz mahallini terk ettiği, sonrasında haciz mahallinde bulunan borçlunun oğlu tarafından “Ben borçlu şirketin yetkilisiyim, borçlu benim misafirim olarak geldi, borçlunun şirketle alâkası yoktur, haczedilen mallar şirkete aittir.” demek suretiyle istihkak iddiasında bulunduğu, haczedilen malların yediemin sıfatıyla kendisine bırakıldığı ve haciz tutanağının imzalandığı,
Bu suretle borçlunun oğlunun kişisel verilerinin haciz işleminin gerçekleştirildiği tarihte icra memuru tarafından işlendiği, iddia edilenin aksine borçlunun borcu hakkında oğluna bilgi verilmediği, iki tarafın da hâlihazırda konudan haberdar oldukları,
İlgili kişilerin veri sorumlusuna usulüne uygun başvuruda bulunmadıkları, borçlunun başvurusunda yer alan vekaletnamede kişisel verilerin korunması çerçevesinde veri sorumlusuna başvurulabilmesi için gerekli açık rızayı içeren özel bir hükmün bulunmadığı, borçlunun oğlunun başvurusunun ise başvuruda bulunan vekil ile vekaletnamede yer alan vekilin farklı olması nedeniyle usulsüz olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 01/12/2022 tarih ve 2022/1281 sayılı Kararı ile;

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrası uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idarî tedbiri almakla mesul tutulduğu,
Kanun’un “Veri sorumlusuna başvuru” başlığını hâiz 13’üncü maddesinin (1) numaralı fıkrasının, “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmünü hâvî olmakla birlikte, anılan maddeye dayanılarak hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasında, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği, (2) numaralı fıkrasında, başvurularda; ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusunun bulunmasının zorunlu olduğu, (3) numaralı fıkrasında ise konuya ilişkin bilgi ve belgelerin başvuruya ekleneceği hususlarının belirtildiği,
Bahse konu Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinde veri sorumlusunun, Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun hükme bağlandığı,
Somut olayda veri sorumlusunun Kuruma ulaştırdığı belgeler arasında yer alan “Haciz Tutanağı”nda; borçlu ve oğlunun haciz mahallinde olduğu ve konuya ilişkin olarak haciz memuru tarafından kendisine bilgilendirmelerde bulunulduğu hususlarının kayıt altına alındığı, ayrıca söz konusu tutanakta “Yediemin” sıfatıyla oğlunun da imzasının yer aldığı, ilgili kişilerin Kuruma intikal ettirdiği şikâyet dilekçelerinin eklerinde yer alan arama kayıtlarının tarihlerinin ise haciz işleminin gerçekleştirildiği tarihten sonraki günlere ait olduğunun görüldüğü,
Şu hâlde, veri sorumlusunun yaptığı aramalar sonrasında ilgili kişiler konumundaki oğlunun, babasına ait borç bilgisini ilk defa bu aramalar ile öğrenmesinin mümkün olmadığı, zira bu aramalardan önce tanzim edilmiş olan haciz tutanağında kendisinin imzası bulunduğundan, borçlunun oğlunun konuya hâlihazırda vakıf olup şikâyet konusu olan kişisel verinin, alenileştiği, aleni verinin ise alenileştirildiği kişiler bakımından gizliliğinin düşünülemeyeceği,
Borçlunun oğlunun da haciz tutanağına imza atmakla haciz işleminin bir tarafı hâline geldiği, birtakım hacizli mallar üzerine yediemin olarak tayin edildiği ve yetkilisi olduğunu iddia ettiği şirket adına söz konusu mallar üzerinde istihkak iddiasında bulunduğunun anlaşıldığı, bu çerçevede Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına dayanılarak, örneğin üzerine yediemin olarak tayin edildiği hacizli malların durumu vb. hakkında bilgi almak ve yürütülen hukuki işlemler hakkında kendisine bilgi vermek amacıyla kişisel verisi hüviyetinde olan şahsî cep telefonu numarasının, veri sorumlusu avukat tarafından, borçlunun oğlunun açık rızası olmaksızın, söz konusu amaçla sınırlı ve kısıtlı olmak üzere işlenebileceği, zira somut olayda alacaklı tarafın hak ve menfaatlerinin korunmasının, oğlunun üzerine yediemin bırakıldığı hacizli malların durumu ve bu konu hakkında kendisi ile irtibat kurulabilmesi ile yakından irtibatlı olduğu,
Öte yandan borçlunun oğlunun cep telefonu numarasının veri sorumlusu tarafından hukuka aykırı bir şekilde elde edildiğine ilişkin Kuruma herhangi bir belge iletilmediği, yapılan inceleme sürecinde de böyle bir tespitte bulunulamadığı, veri sorumlusu tarafından borçlunun oğlunun kişisel verisi olan cep telefonu numarasının, aradaki hukuki ihtilafa ilişkin hususlarla sınırlı olmak üzere işlenmesinin hukuka aykırı olmadığı,
Borçlunun oğlunun başvurusunda başvuruda bulunan vekil ile vekaletnamede yer alan vekilin farklı olması ve taraflar arasında düzenlenen bir yetki belgesi de veri sorumlusuna ya da Kuruma iletilmemiş olduğundan, söz konusu başvurunun yanıtlanmamasının hukuka aykırılık teşkil etmediği, bununla birlikte, ilgili kişinin başvurusunda yer alan vekaletnamede kişisel verilere ilişkin özel yetki yer almamasının, söz konusu taleplerin yanıtlanmaması noktasında bir engel teşkil etmediği

değerlendirmelerinden hareketle;

Borçlunun oğlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusunun Kuruma ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem olmadığına,
Veri sorumlusunun kendisine Kanun ve Tebliğ kapsamında, vekilleri aracılığıyla başvuruda bulunan ilgili kişilerden yasal bir mecburiyet bulunmamasına karşın “kişisel verilere ilişkin özel yetki” talep ettiği, bu durumun ilgili kişilerin veri sorumlusuna başvuru yapmasını Tebliğ’in 5 ve 6’ncı maddeleri hükümlerine aykırı olarak zorlaştırdığı dikkate alındığında kendisine yapılacak başvuruları sonuçlandırma noktasında azami dikkat ve özeni göstererek ilgili kişilerin bizzat kendileri veya vekilleri aracılığı ile yaptıkları başvuruları Kanun ya da Tebliğ’de bulunmayan, ayrıca herhangi bir yasal mesnede de dayanmayan ek külfetler getirmek suretiyle zorlaştırmamasına yönelik gerekli tedbirlerin alınması konusunda veri sorumlusunun uyarılmasına

karar verilmiştir.

08.Eylül.2022: “İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi””

Karar Tarihi	:	08/09/2022
Karar No	:	2022/925
Konu Özeti	:	İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilgili kişinin daha önce veri sorumlusu telekomünikasyon şirketi hakkında kendisine ait e-posta adresine başka bir aboneye ait e-faturaların gönderilmesi nedeniyle şikâyette bulunduğu, bu kapsamda veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından idari para cezası uygulanmasına ve kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verildiği ancak 2018 yılından beri 053..….4 numaralı hattın sahibinin e-faturalarının veri sorumlusu tarafından ilgili kişiye iletildiği bununla birlikte 054.…..9 numaralı hattın sahibinin e-faturalarının da kendisine iletilmeye başlandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişiye ait verilerin düzeltilmesini isteme hakkının yerine getirilmediği iddiasının gerçeği yansıtmadığı, ilgili kişinin şirkete yaptığı başvuru sonrasında 054……9 numaralı hattın faturalama bilgilendirme tercihinin Mayıs 2020 dönemi ve sonrası için e-faturadan SMS’e çevrildiği; bu çerçevede, şirket sistemlerinde yapılan sorgulamada 054……9 numaralı telefon numarasına ilişkin hazırlanan e-faturanın ilgili kişinin beyan ettiği e-posta adresine en son 30 Nisan 2020 tarihinde iletildiğinin tespit edildiği,
Aynı e-mail adresini beyan eden 053……4 numaralı hat sahibine ise konuya ilişkin olarak ulaşılmaya çalışılmasına rağmen borcundan dolayı hattının erişime kısıtlı olması nedeniyle ulaşılamadığı, abonelik sözleşmesi kapsamında aynı e-posta adresini beyan eden hat sahibinin değişikliğe ilişkin rızası alınamadığı için herhangi bir işlem yapılamadığı, hat sahibinin abonelik sözleşmesinde beyan ettiği bilgilerin hat sahibinin iradesi dışında değiştirilmesinin Kanun kapsamındaki haklarının ihlaline ve Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) ilgili yönetmeliklerine aykırı hareket edilmesine sebep olacağı, zira kişisel verilerinin düzeltilmesinin kullanılması hakkının hat sahibine ait olduğu,
İlgili kişinin ilk şikâyetini 11.01.2019 tarihinde Kuruma ilettiği, ilk başvurusunda, yalnızca 053……7 numaralı hattın faturalarının kendisine gönderilmesi ve bu suretle e-posta adresinin hukuka aykırı işlendiğine ilişkin rahatsızlığını beyan ettiği ancak 053……4 numaralı hatta ait faturaların da 2018 yılında aynı e-posta adresine iletilmekte olduğu görülmesine rağmen ilgili kişinin yaptığı 11.01.2019 tarihli ilk başvuruda 053…..4 numaralı hattın faturasına ilişkin rahatsızlık duyduğunu beyan etmediği, ilk başvurusunda yer vermediği bu numaraya yönelik rahatsızlığını yaklaşık 18 ay sonra iletme gereği duymasının diğer şikâyetlerinde kullanmak üzere numarayı elinde tutmayı tercih etmesi anlamına geldiği, gereksiz iş yükü getiren ve etik olmayan bu tercihin dürüstlük ilkesiyle bağdaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kurulun 08/09/2022 tarih ve 2022/925 sayılı Kararı ile;

Kanun’un “Genel İlkeler” başlıklı 4’ üncü maddesinde “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” hükmünün yer aldığı
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinde; “(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
Somut olayda ilgili kişinin ilk başvurusuna istinaden verilen Kurul Kararı kapsamında veri sorumlusunun kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda talimatlandırılmasına rağmen, üçüncü kişilere ilişkin faturanın ilgili kişinin e-posta adresine iletilmeye devam edilmesinin ve yine üçüncü bir kişiye ait abonelik sözleşmesinde ilgili kişinin e-posta adresinin bildirilmiş olmasının, mevcut ve yeni üyelerin e-posta adresi gibi iletişim kanallarının doğrulanmasına yönelik bir mekanizmanın bulunmadığını gösterdiği,
Veri sorumlusunun söz konusu kişisel verilerin doğruluğunu sağlamak amacıyla proaktif bir yaklaşımla gerekli tedbirleri almamasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği, dolayısıyla veri sorumlusu tarafından kişisel verilerin işlenmesinde Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alınmadığı kanaatine varıldığı

değerlendirmelerinden hareketle;

İlgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun Kanun’un 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce verilen Kurul Kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
İlgili kişinin e-posta adresine üçüncü kişilere ait kişisel verilerin iletilmemesi amacıyla gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

08.Eylül.2022: “İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi hakkında”

Karar Tarihi	:	08/09/2022
Karar No	:	2022/923
Konu Özeti	:	İlgili kişinin telefon numarasının tedavi olduğu hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesine ilişkin şikâyet

Kuruma intikal eden şikâyetinde özetle ilgili kişinin;

Ocak 2018 tarihinde hastanede bir doktor tarafından muayene edildiği, ilgili doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderdiği, bu sebeple doktor tarafından hastaneden ayrılırken kişisel verilerinin hukuka aykırı olarak temin edildiğini düşündüğü,
Konuya ilişkin ilgili doktora ve hastaneye başvurduğu, doktorun cevabında kendisine ait verilerini sağlık durumunun kontrolü amacıyla aldığını belirttiği, hastanenin cevabında ise başvurusuna konu ettiği kişisel verilerine ilişkin özel bilgi vermek yerine genel nitelikte ve konuya özgü olmayan bir cevap verildiği, bu çerçevede taraflardan yeterli bir cevabın alınamadığı,
Kendisinin sadece yaklaşık 3 sene önce ilgili doktora bir kere muayene olduğu ve sonrasında hiçbir muayene ya da tedavinin söz konusu olmadığı, ne hastane nezdinde ne de doktor nezdinde devam eden ya da takip edilen hiçbir sağlık probleminin söz konusu olmadığı, bu sebeple ilgili doktorun hastaneden ayrılırken kendisine ait verileri usulsüz olarak ele geçirdiği ve kendi özel kliniğinde maddi çıkar sağlamak üzere kullandığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında hastane ve doktor hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hastaneden ve ilgili doktordan savunması istenilmiş olup doktordan alınan cevabi yazıda özetle;

Hastaneden ayrılırken rehberinde telefon numaraları bulunan hastalara artık mesleğini özel muayenehanede yürüteceğine dair bilgilendirme mesajı gönderdiği,
Hastanede çalışmadığı konusunda hastaların bilgilendirilmesinin önem arz ettiği ve hastalara kolaylık sağladığı, bu hususun özellikle kadın doğum uzmanlığı gibi yüksek ihtisaslar için bir zorunluluk olduğu, somut durumda da ilgili kişinin iletişim bilgilerini kendisinin paylaşmış olduğu, bu açıdan hastaların bilgilendirilmesinin hayatın doğal akışına uygun ve mesleğin doğası gereği olduğu, ayrıca bu durumun mesleki bir sorumluluk olduğu,
2017-2020 arasındaki dönemde hastane ile arasında kurulan ilişkinin bir işçi-işveren ilişkisi olmadığı, tıp dünyasında genel geçer uygulamalara uygun olarak hastaların doktoru kendisi iken; hastaların barınma, yeme-içme, hastane hizmetlerinden faydalanma, yatış işlemleri gibi “hekimlik dışı” işlemlerinde, hastayla arasında ilişki kuran tarafın hastane olduğu, tüm sağlık sektöründe de işleyişin bu şekilde olduğu, hastanenin, hasta-doktor ilişkisinde sağlık ve bakım hizmetleri söz konusu olduğu durumda devreye giren bir süje olduğu,
Bu kapsamda tıbbi bakım ve tedavi hizmetlerinin özünü sağlayanın hastane değil, hekim olduğu; bundan ötürü de hastanın her zaman doktorla iletişim kurmak ve onu takip etmek istediği, bu durumun sadece özel hastanelerde değil neredeyse tüm hasta-hekim ilişkisinin kurulduğu tıbbi yerleşkelerde söz konusu olduğu, somut olayda da şikayetçinin hastane bünyesinde bulunan ve yüksek ihtisasa sahip dört doktor arasından kendisiyle hasta-hekim ilişkisi kurmayı tercih ettiği,
Bu minvalde meslek hayatı boyunca neredeyse tüm hastalarıyla iletişim bilgilerini memnuniyetle paylaştığı ve sadece hastalarıyla iletişim için kullandığı bir numarasının bulunduğu, özellikle de uzmanlık ihtisasının kadın doğum doktorluğu ve özel alanının ise tüp bebek uzmanlığı olması sebebiyle iletişimin hem mesleğin etik gereklilikleri hem de hastanın hassasiyeti ve beklentileri sebebiyle çok daha büyük bir önem arz ettiği,
İlgili kişinin sadece adı-soyadı ile telefon numarası bilgilerinin mevcut olduğu, bu bilgilerin ilgili kişiyi muayene ettiği tarihte ilgili kişinin kendisi tarafından paylaşıldığı, bunun dışında ilgili kişinin sağlık verisi gibi bilgilerini kaydetmesinin ve saklamasının mümkün olmadığı, ilgili kişinin iletişim numarasının da doğrudan cep telefonu rehberine kaydedildiği ve üçüncü kişilerle paylaşılmadığı,
İlgili kişinin başvurusunun ardından cep telefonu numarasının da silindiği

ifade edilmiştir.

Hastaneden alınan cevabi yazıda ise özetle;

Doktor ile aralarındaki sözleşmenin Eylül 2020 tarihinde sona erdiği, bu tarihten itibaren doktorun hastane kayıt ve sistemlerine erişemediği, dolayısıyla Eylül 2020 tarihinden sonra doktor tarafından gerçekleştirilen herhangi bir haksız veri işleme faaliyetinden hastanenin sorumlu tutulamayacağı,
Hastalara ait kişisel verilerin Hastane Bilgi Yönetim Sistemine (HBYS) kaydedildiği, ardından hasta tarafından randevu alınması halinde, ilgili hastanın HBYS'ye kaydedilmiş olan verilerinin muayenenin gerçekleştirilmesi amacıyla yine HBYS sistemi üzerinden hekimlerin erişimine açıldığı, bu sistemin yalnızca muayene işleminin gerçekleştirilmesi amacıyla çalıştığı,
Bir hekimin hastasının iletişim bilgilerine erişiminin olmasının hayatın olağan akışı içerisinde oldukça normal bir durum olduğu ve hastanın menfaati için gerekli olduğu,
Hastanın adı, soyadı, T.C. kimlik numarası, iletişim bilgileri, şikâyeti, özgeçmişi, öykü, soy geçmişi, bulgu bilgilerinin HBYS üzerinden yalnızca tedavinin sağlanması amacıyla görüntülenmek üzere söz konusu doktorun erişimine sunulduğu, log kayıtlarından da anlaşılacağı üzere doktorun epikriz raporu oluşturmak ve ilgili kişinin sağlık bilgilerini Hastane Bilgi Yönetim Sistemine kaydetmek üzere sisteme giriş yaptığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 08/09/2022 tarih ve 2022/923 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Somut olayda, ilgili kişi tarafından şikayet dilekçesinde hastanede yer alan kişisel verilerinin doktor tarafından hukuka aykırı olarak temin edildiğinin iddia edildiği, hastanenin cevabında ilgili kişinin 16.01.2018 tarihinde hastanede görev yapmakta olan şikayete konu doktora muayene olduğu; doktorun 01.09.2020 itibariyle hastane ile olan iş ilişkisinin sona erdiği ve bu tarihten itibaren hastane kayıt ve sistemlerine erişim imkanının kalmadığı; sisteme giriş kayıtlarında da (log) doktorun ilgili kişinin kaydına hastanede çalıştığı süre içerisinde sisteme giriş yetkisi bulunurken 12.01.2018, 19.01.2018 ve 27.06.2018 tarihlerinde giriş yaptığının görüldüğü,
Doktor tarafından ise, ilgili kişinin kişisel verisi olan cep telefon numarasının hastane kayıtlarından temin edilmediği, aksine ilgili kişinin muayenesi esnasında branşının mahiyeti gereği iletişim kurulabilmesi amacıyla bizzat kişiden temin edilerek cep telefonuna kaydedildiği, hastaneden ayrılması akabinde de güncel adresi hakkında bilgi verilerek kendisiyle iletişim kurulabilmesi amacıyla telefon rehberinde kayıtlı olması sebebiyle ilgili kişiye de SMS gönderildiğinin beyan edildiği değerlendirildiğinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği,
6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilerek bu çerçevede, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceğinin belirtildiği,
Diğer taraftan, Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
Veri sorumlusunca ilgili kişiye ait kişisel verilerin belirtilen amaçlar dışında başka amaçlarla işlenmemesi, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması, amacın gerçekleşmesiyle ilgili olmayan kişisel verilerin işlenmesinden kaçınılması gerektiği,
Kanun’un gerekçesinde de “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5’inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı, dolayısıyla veri sorumlusunun kişisel verileri ilk veriliş amacıyla uyumsuz bir şekilde işlememesi, farklı bir amaçla işleme durumu söz konusu ise bu işlemenin de ayrıca bir hukuka uygunluk sebebine dayanması gerektiği,
Somut olayda, şikayet konusu SMS’in kendi mesleki faaliyeti kapsamında ilgili kişiye gönderilmesi özelinde veri sorumlusu olduğu anlaşılan doktorun ilgili kişiyi 2018 Ocak ayında, çalıştığı hastane bünyesinde muayene ettiği, ilgili kişi ile olan hasta-doktor ilişkisi kapsamında sistem bilgilerine hastane doktoru olarak en son 2018 Haziran ayında girdiği, bu tarihten sonra ilgili kişi ile doktor arasında tıbbi olarak bir temas sağlandığına yönelik herhangi bir kaydın ya da beyanın bulunmadığı, ancak veri sorumlusu doktor tarafından 2020 yılında, hastane ile olan iş ilişkisinin sona erdiği ve güncel adresinin değiştiği hakkında ilgili kişinin hastanede muayene olurken vermiş olduğu ve halihazırda doktorla bir hizmet ilişkisi de bulunmazken ilgili kişinin cep telefonuna kısa mesaj göndermek suretiyle ilgili kişinin kişisel verisi olan telefon numarasının işlendiğinin anlaşıldığı,
İlgili kişinin 2018 Ocak ayından 2020 yılının Eylül ayına kadar olan süre içerisinde, doktor ile arasında aktif bir hasta-doktor ilişkisinin bulunmadığı, doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayane/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği ve bu işlemenin de ilgili kişinin açık rızasına ya da Kanun’un 5’inci maddesinde yer alan diğer işleme şartlarından herhangi birine dayanmadığının anlaşıldığı

değerlendirmelerinden hareketle;

Eldeki bilgi ve belgeler çerçevesinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastane hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığına, bu kapsamda Kanun’un 12’nci maddesine aykırı uygulamada bulunan gerçek kişi veri sorumlusu doktor hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

24.Kasım.2022: “İlgili kişinin döviz bürosundaki güvenlik kamerası ile kayıt altına alınmış görüntülerinin haber ajansları ile paylaşılması”

Karar Tarihi	:	24/11/2022
Karar No	:	2022/1249
Konu Özeti	:	İlgili kişinin döviz bürosundaki güvenlik kamerası ile kayıt altına alınmış görüntülerinin haber ajansları ile paylaşılması

İlgili kişinin şikâyetinde özetle;

Veri sorumlusuna ait döviz bürosunda gişe görevlisi tarafından yapılan yanlış işlem sebebiyle ilgili kişiye fazla ödeme yapıldığı, fazla ödemenin ilgili kişi tarafından öğrenilmesi üzerine fazla ödenen kısmın iade edildiği, bununla birlikte döviz bürosunda bulunan güvenlik kamerası ile kayda alınmış ilgili kişiye ait görüntülerin haber ajans ve siteleri ile ilgili kişinin açık rızası alınmaksızın paylaşıldığı,
Bahsi geçen haber sitelerinde ilgili kişinin görüntülerinin paylaşılması sebebiyle ilgili kişi hakkında rencide edici yorumların yapıldığı ve bu durumun ilgili kişinin manevi anlamda yıpranmasına sebep olduğu,
Veri sorumlusunun iş yerinde görüntü kaydı yapıldığına ilişkin herhangi bir uyarı levhasının bulunmadığı,
İlgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesindeki hakları uyarınca veri sorumlusuna yazılı şekilde başvuruda bulunulduğu ancak başvuru dilekçesindeki hususlara makul ve yeterli cevap verilmediği ve ihlal durumunun veri sorumlusunca reddedildiği

belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

Kuruma yapılan başvurunun haksız ve mesnetsiz olduğu, veri sorumlusunca ilgili kişinin başvurusunun somut delillerle ve ilgili olaya ilişkin haber kayıtları, kamera kayıtları, kamera uyarı levhalarını gösteren fotoğraflarla birlikte tek tek ayrıntılı bir şekilde cevaplandığı, buna rağmen ilgili kişi tarafından makul ve yeterli cevap bulunmadığı beyan edilerek Kuruma başvurulmasının anlamlandırılamadığı,
İlgili kişinin veri sorumlusuna ait döviz bürosuna giderek döviz cinsinden para bozdurmak istediği ancak getirilen paraların rulo şeklinde ve buruşmuş olması sebebiyle para makinesinin para tutarını belirlerken yanıldığı ve vezne görevlisinin ekrandaki tutarı ilgili kişiye verdiği,
Döviz bürosunda gün sonunda rutin olarak yapılan kasa sayımında para açığı olduğunun fark edildiği ve kamera kayıtlarının incelemesi neticesinde hatalı işlemin ve bu işlemin gerçekleştirildiği müşterinin tespit edildiği, bu tür hatalı işlemlerde sorumluluğun veznedarda olduğu ve kasa açığının veznedarın hesabına yazılıp siciline işlendiği,
Fazla para ödenen ilgili kişinin fazla ödenen parayı veri sorumlusuna iade etmesinin beklendiği ancak makul süre geçmesine rağmen paranın iade edilmediği,
Olayın gerçekleşmesinden bir gün sonra uluslararası yayın yapan bir televizyon kanalının her hafta rutin olarak gerçekleştirdiği ekonomi yorumu çekimi için döviz bürosuna geldiği, yayın yapılması esnasında bir önceki gün gerçekleştirilen hatalı işlemin gündeme geldiği, veznedarın kendi sorumluluğunun doğduğunu bildiği, paranın makul süre içerisinde iade edilmemesi nedeniyle yapılan hatalı işlemin ilgili kişi tarafından aslında kasten yapılmış olabileceği ihtimalinin de bulunduğu, bu durumda suç soruşturmasına neden olabileceği için savcılığa başvurmadan önce eğer ilgili kişi iyi niyetliyse iş savcılığa intikal etmeden bu sorunu çözmek istediği ancak müşteri ile irtibata geçebileceği isim-adres-telefon vb. bilgiler vasıtasıyla müşteriye başka türlü ulaşma imkanı bulunmadığı için ilgili kişinin kendileriyle irtibata geçebilmesi için müşterinin sadece şahsının kendisini tanıyabileceği, ilgili kişinin yalnızca göz çevresinin göründüğü, görüntülerin kanala verildiği,
İlgili kişinin kişisel verisi sayılabilecek nitelikte bir bilgisinin basına verilmediği, ekranda gösterilen videonun ilgili kişinin tanınabileceği bir kayıt olmadığı, söz konusu yayınlar yapıldıktan sonra ilgili kişinin yurtdışında bulunan kızının yayını izlediği ve annesine durumu ilettiği bu sayede veri sorumlusu ile iletişime geçtiği, ilgili kişinin Düzeltme/Teşekkür haberinin yapıldığı yayın esnasında bu durumu “kızım haber verdi geldim yoksa haberim olmazdı” şeklinde kendisinin açıkça beyan ettiği, ilan verilmeseydi ilgili kişinin veri sorumlusuna ulaşmayacağının anlaşıldığı, bu durumda eksik kalan para bedelinin veznedardan tahsil edileceği ve siciline işleyeceği, asgari ücretle hayatını idame ettiren veznedarın ekonomik anlamda mahvına sebep olacak durumun korku ve paniği ile bu görüntüyü verirken kişiyi rencide etme ve aşağılama gibi bir düşüncesinin bulunmadığı yalnızca kişiye ulaşma ve fazla parayı geri alma amaç ve iyi niyetiyle verildiği, bu yönüyle incelendiği zaman ilgili olayın Kanunlarımızda hukuka uygunluk nedeni olarak düzenlenen daha üstün nitelikli kamusal veya özel yarar durumunu oluşturduğu,
Veri sorumlusu tarafından konunun haber yapılması için kasten girişimde bulunulmadığı, haberi yayınlayan diğer basın organlarının haber içeriğini kopyalamak suretiyle veri sorumlusunun bilgisi ve kontrolü dışında yayın yaptıkları, haber içeriğinde şahsı rencide edici, küçük düşürücü hiçbir kelimenin kullanılmadığı, diğer internet sitelerinde haberin altına yapılan yorumların ise veri sorumlusunun kontrolü altında tutabileceği bir durum olmadığı, diğer internet sitelerince yapılan haberlerin veri sorumlusunun bilgisi dahilinde olmadığı, bu nedenle de usulsüz şekilde haberi yapan ve bu haberlere yorum yapan kişilerin cezai sorumluluklarının sadece kendilerini bağladığı, veri sorumlusuna bir kusur atfedilemeyeceği,
Veznedarın bilgisi dâhilinde olan haber içeriğinin ilgili kişiye ulaşmak amacıyla ilan niteliğinde olduğu, haberin içerisinde kişilik haklarını zedeleyecek yahut taraflarca kötü bir anlam yüklenecek içeriğin oluşturulmadığı, döviz bozdurma işlemi sırasında müşterilerin adı ve soyadı ile işlem yapılmadığından ilgili kişiye doğrudan doğruya başvurulamayacağı ve başka şekilde ilgili kişiye ulaşma imkanının bulunmaması sebebiyle söz konusu olayda ilgili kişinin ismi verilerek değil tanıyanların kendisine iletmesi ve bu kişinin geri dönüşünün sağlaması için sadece gözleri belli olan video kaydının kullanıldığı, ses veya başkaca herhangi bir kişisel veri niteliği taşıyan hiçbir unsurun basın veya haber kuruluşuyla paylaşılmadığı,
Olayın yerel basına yansımasının akabinde ilgili kişinin karşı komşusu ile birlikte büroya geldiği, durumun kendisine kızı tarafından haber verildiğini ve eğer parayı getirmese veri sorumlusunun kendisini zor bulacağını beyan ettiği, her ne kadar ilgili kişiyi tanıyanların veri sorumlusuna başvurması için ilan niteliğinde bir yayın yapılsa da ilgili görüntülerde maske takıldığı ve ilgili kişinin gözlerinden başka hiçbir uzvu veya kendisinin tanınmasına yardımcı olacak bir özelliği belli olmadığı için başkaları tarafından tanınmasının imkansız olduğu, ilgili kişinin yayınlanan haberde siyah eşarp ve maske taktığı, kişinin yalnızca gözlerinin açıkta olduğu, adı/soyadı/herhangi bir spesifik özellik veya verisi verilmeyen ilgili kişinin yalnızca gözlerinden tanınmasının hayatın olağan akışına ters olduğu, mantık sınırları içerisinde olmadığı, zaten ilgili kişiyi bu haliyle tanıyan tek kişinin de birinci derece yakını olan kızından başkası olmadığı,
İlgili kişinin fazla parayı, veri sorumlusuna hatalı işlemin tesis edildiği ve kendisinin parayı bankaya yatırdığı gün veya işlem gerçekleştikten sonraki üç gün içerisinde geri ödemediği, bu davranışlar bir bütün olarak ele alındığında ilgili kişinin gerçekleştirdiği davranışın açıkça kişinin gerçek niyetinin aslında paranın geri ödenmemesi yönünde olduğunun, makul ve dürüst bir insandan beklenebilecek bir davranış olmadığının göstergesi olduğu, eğer ki haber yapılmasaydı ilgili kişinin döviz bürosuna gelerek hatalı işlemin düzeltilmesini hiçbir zaman talep etmeyeceği ve kişi zaten yurt dışında yaşadığı için kendisine ulaşılamayacağı,
Veri sorumlusunun ilgili kişiye teşekkür etmek için ilgili haberi yapan TV kanalına haber verdiği ve kanalın paranın iadesinin yapıldığına dair düzeltme niteliğinde haber yaptığı, veri sorumlusunun haber içeriğinde ilgili kişiyi rencide edecek nitelikte hiçbir imada bulunulmasa da güzel bir davranış gerçekleştirdiği ve durumun kamuoyu tarafından da öğrenilmesi için bir nevi teşekkür mahiyetinde ilgili kişinin iznini alarak TV kanalını aradığı, paranın geri getirildiği haberinin yapılmasını istediği, yayın yapılacağından ilgili kişinin haberdar olduğu, veri sorumlusunca teklif yapıldığında ilgili kişi tarafından hemen kabul edildiği, hatta haber ekiplerinin kayıtta olduğu sırada parayı veznedara teslim ettiği, sonrasında kameranın önüne geçerek kendi hür iradesiyle röportaj verdiği, ilgili kişinin adının ve soyadının veri sorumlusunca açıklanmadığı, ilgili kişinin bu bilgileri röportaj esnasında özgür iradesiyle verdiği, ilgili kişinin isminin teşekkür haberinin yapıldığı sırada öğrenildiği,
Tüm işlemlerin tamamlanmasını müteakip tarafların iyi bir şekilde ayrıldıkları ancak sonrasında ilgili kişinin birçok davranışının şüpheli ve tutarsız olduğu,
Veri sorumlusu tarafından işlenen veri ve kayıtların hukuka uygun olarak kaydedildiği ve saklandığı, veri sorumlusuna ait büronun iki farklı yerinde kamera kaydı yapıldığına dair levhalar bulunduğu, levhaların kişilerin kolayca görebileceği yerlerde bulunduğu, kişilerin bu iş yerine girdikleri zaman kayıtlarının yapılmasını kabul ettiklerine karine teşkil etmesi sebebiyle hukuka uygunluk nedeni oluşturduğu, veri sorumlusunca tutulan, kayıt altına alınan ve saklanan kamera kayıtlarının hukuka uygun, hatta ilgili yasa ve mevzuat gereği zorunlu olduğu, nitekim döviz bürolarının Hazine ve Maliye Bakanlığına bağlı kurumlar olması sebebiyle iş ve işlemlerinin Bakanlığın denetimi altında gerçekleştirildiği, döviz bürolarının istenildiği zaman canlı izlendiği, döviz bürolarında kamera bulundurulmasının zorunlu olduğu, kamera takılmaması ve kamera kayıtlarının saklanmamasının ise döviz bürosunun kapatılması yaptırımına bağlandığı,
Veri sorumlusu tarafından Kanun’un 10’uncu maddesine uygun olarak büronun kamera ile izlendiğine dair herkesin rahatlıkla görebileceği yerlerde bulunan uyarı levhaları ile aydınlatıldığı ve kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildiride bulunulduğu, böylelikle ilgili kişilerin temel hak ve özgürlüklerine zarar verilmesinin engellendiği, şeffaflığın ve ilgili kişilerin aydınlatılmasının hedeflendiği, ilgili kişinin de büroda kendisine ödeme yapılırken kameraya uzun süre baktığı, bu nedenle ilgili kişinin büroda kamera bulunduğunun farkında olduğu, bu kameraların tam alt kısmında kamera ile kayıt yapıldığına dair uyarı levhasının bulunduğu, güvenlik amacıyla kamera ile izleme faaliyetinin yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edildiği, döviz bürosunun bina ve tesislerinde ilgililerin haklarının zedelenmemesi amacıyla yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerasıyla izleme faaliyetinde bulunulduğu, güvenlik kamerasıyla kişilerin görüntülerinin kayda alınmasıyla ilgili Anayasal düzenleme esas alındığında güvenlik kamerasıyla yapılan kayıtların kanunilik, ölçülülük ve maddede sayılmış olan bir ya da daha fazla amaç bakımından demokratik bir toplumda gerekli olması koşullarına uygun olduğu sürece bu kayıtların hukuka uygun olarak kaydedildiğinin kabul edildiği,
Olayda Kanun’da belirtilen hukuka uygunluk sebeplerinin mevcut olduğu, döviz bürosunun Kanun’un 4’üncü maddesine uygun olarak kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlediği, veri sorumlusunun güvenlik kamerasıyla izleme faaliyetinin sürdürülmesindeki amacın bu Kanun maddesinde sayılan amaçlarla sınırlı olarak ve bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağının güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulanmaya alındığı, kişisel verilerin işlenmesiyle ilgili Avrupa İnsan Hakları Mahkemesi içtihatlarına bakıldığında mahkemenin özel hayata ait beklentilerin zayıf olduğu kamusal alanda kişinin sadece kayda alınmasının özel hayata müdahale olmadığının ifade edildiği,
Kanun’un 5’inci maddesinde sayılan birden çok fıkranın büronun ilgili verileri işlemesini hukuka uygun hale getirdiği, Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Tebliğ’in 26’ncı maddesi gereği döviz bürolarında kamera bulundurulmasının zorunlu olduğu, bu durumun kişisel veri işlemenin kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hükmü ile birebir örtüştüğü ayrıca veri sorumlusunun döviz bürosu olduğu ve yapılan işin önemi göz önünde bulundurulduğunda geri dönülmez zararlar olabileceği için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü çerçevesinde veri sorumlusunca hukuka aykırı olarak herhangi bir veri kaydı yapılmadığının, tutulmadığının ve saklanmadığının görüleceği,
Kanun’un hangi durumlarda kişisel verilerin aktarımı yapılabileceğini düzenlediği 8’inci maddesi uyarınca Kanun’un 6’ncı maddesinde zikredilen hususlar arasında biyometrik verilerin işlenebileceğine ve aktarılabileceğine de yer verildiği, ayrıca Kanun’un 28’inci maddesinin (2) numaralı fıkrası gereğince suç işlenmesinin önlenmesi veya suç soruşturması için zorunlu olması durumunda bu verilerin aktarılabileceğinin düzenlendiği,
İlgili kişinin hal ve hareketleri bir bütün olarak değerlendirildiğinde suç işlemiş olabileceği kanaatinin oluştuğu, toplumda makul, orta zekalı bir birey tarafından yorumlandığında da bu durumun bu şekilde yorumlanabileceği, bu nedenlerle ilgili kişinin kişisel verilerinin işlenmesinde hukuka aykırı hiçbir usulün izlenmediği, her şeyin usul ve kanuna uygun gerçekleştirildiği, ilgili kişinin bu olayda herhangi bir zararı olmadığı gibi bürodaki veznedarın bir yıllık maaşıyla ödenebilecek bir zararın kapatıldığı, bu durumun ilgili kişinin gönüllü olarak verdiği röportaj kapsamında TV’de yayınlandığı, açıklanan tüm bu nedenlerle ilgili kişinin görüntülerinin hukuka aykırı bir amaç güdülerek veyahut kişilik haklarına zarar verecek biçimde herhangi bir kurum/kuruluşa veya basın/yayın organına verilmediği, tüm kayıtların hukuka uygun şekilde tutulduğu ve işlemlerin bu doğrultuda tesis edildiği

bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 24/11/2022 tarihli ve 2022/1249 sayılı Kararı ile;

Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verildiği

Bu çerçevede;

İlgili kişinin “veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği” yönündeki şikâyeti ile ilgili olarak;

• İlgili kişinin görüntü kaydının alınması şeklindeki veri işleme faaliyetinin gerçekleştiği dönemde yürürlükte bulunan Tebliğ’in (Tebliğ No:2018-32/45) amir 26’ncı maddesinin incelenmesinden “Yetkili müesseseler işlem yapılan her bir vezne, para makinesi ile işlem yapan kişileri gösterecek şekilde yeterli sayıda kamera veya görüntü kayıt sistemini çalışır şekilde kurulu bulundurmak zorundadır.” hükmünün yer aldığının görüldüğü, bu itibarla döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu, dolayısıyla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin kaydedilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartına dayandığı, öte yandan ilgili kişinin kamera kaydı yapıldığına ilişkin aydınlatma yapılmadığı iddiaları hakkında veri sorumlusunun savunması ekinde iletmiş olduğu fotoğrafların incelenmesinden döviz bürosunun muhtelif yerlerinde “Bu iş yeri güvenliğiniz için 7/24 kamera ile izlenmektedir” levhalarının asılı olduğunun görüldüğü ve kamera kaydı yapıldığına ilişkin ilgililerin aydınlatılmasının sağlandığı kanaatinin hasıl olduğu,

İlgili kişinin veri sorumlusunca kamera kaydı neticesinde elde edilen görüntülerinin yerel televizyon kanalına aktarılması şikâyeti ile ilgili olarak;

Kanun’un 8’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağının hükme bağlandığı, aynı maddenin (2) numaralı fıkrasında Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin kişisel verilerinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği,
İlgili kişi ile irtibata geçilebilecek isim-adres-telefon vb. bir bilginin bulunmaması ve ilgili kişiye başka türlü ulaşma imkanı bulunmadığı için veri sorumlusunca ilgili kişinin sadece göz çevresinin göründüğü görüntülerin TV kanalına verildiği, ilan verilmeseydi ilgili kişinin veri sorumlusuna ulaşmayacağının anlaşıldığı, bu durumda eksik kalan para bedelinin veznedardan tahsil edileceği ve siciline işleyeceği, asgari ücretle hayatını idame ettiren veznedarın ekonomik anlamda mahvına sebep olacağı, bu yönüyle incelendiği zaman ilgili olayın kanunlarımızda hukuka uygunluk nedeni olarak düzenlenen daha üstün nitelikli kamusal veya özel yarar durumunu oluşturduğu, haber içeriğinin ise ilgili kişiye ulaşmak amacıyla ilan niteliğinde olduğu beyanlarından hareketle somut olayın Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması işleme şartı çerçevesinde incelendiği,
Hükmün uygulanabilmesinin iki aşamalı bir değerlendirme gerektirdiği, ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığının tespit edilmesinin gerektiği, somut olayda veri sorumlusunun, fazla ödeme yapılan ilgili kişinin tespit edilmesi amacıyla ilgili kişiye ait görüntü kayıtlarını üçüncü kişi/kurumlara aktarması suretiyle gerçekleşen eylemde menfaatinin bulunduğunu “1- İlgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanması 2- İlgili kişiye ulaşılamaması durumunda eksik kalan para bedelinin veznedardan tahsil edilmesi ve siciline işlemesi sebebiyle veznedarın ekonomik anlamda mahvına sebep olması” şeklinde izah ettiği,
Söz konusu menfaatler açısından bir değerlendirme yapıldığında; fiilin kasten yapılmış olabileceği şüphesinin mevcut olduğu da göz önünde bulundurulduğunda suç soruşturmasına neden olabileceği için veri sorumlusunca makul ve normal şartlarda beklenen hareket tarzının adli mercilere başvuruda bulunmak şeklinde olduğunun düşünüldüğü, bununla birlikte döviz bozdurma işlemi sırasında müşterilerin adları ve soyadlarıyla işlem yapılmadığından ad-soyad-iletişim bilgisi gibi ilgili kişiye ait herhangi bir kişisel veriye sahip olmadığı ve yapılan fazla/haksız ödemenin iadesinin sağlanmasında tek yol olarak görüldüğü dikkate alındığında söz konusu aktarımın kişinin kendisinin geri dönüşünün sağlanabilmesi adına yararlı olacağı düşüncesiyle ilgili kişiye ait göz çevresinin ve siluetinin göründüğü görüntülerin, kendinin tanıyabileceği şekilde TV kanalına verilmesinde meşru olarak değerlendirilebilecek bir menfaatin varlığından söz edilebileceği,
Bununla birlikte veri sorumlusunun elde edeceği faydanın; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve halihazırda mevcut olan bir menfaatine ilişkin olması gerektiği, bu kapsamda menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermeyeceği yönünde yapılan ikinci değerlendirmede temel hak ve özgürlüklere konu olan kişisel verilerin korunması hakkına, ilgili kişinin şikâyetine ve aktarıma konu olan kamera kaydı görüntüleri incelendiğinde, ilgili kişinin maske takmasından dolayı gözünün, göz çevresinin ve siluetinin görünür olduğu görüntülerin, bir gerçek kişiyle ilişkilendirildiği ve ilgili kişiyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli olduğu için kuşkusuz kişisel veri niteliğini haiz olduğu, buna karşın ilgili kişinin yalnızca göz, göz çevresinin ve siluetinin görünür olduğu görüntülerle ilgili kişiyi tanımlamanın mümkün olmadığı, bu verilerin tek başına ilgili kişiyi belirlemeye imkân sağlayacak nitelikte de olmadığı, kişileri doğrudan değil ama dolaylı yoldan belirlenebilir kılan veriler açısından da kişisel veriden bahsedilmekle birlikte bunların ilgili kişilerin temel hak ve hürriyetleri açısından yaratacağı risklerin daha az olduğundan söz edilebileceği, somut görüntülerin değerlendirilmesinden de ilgili kişinin yalnızca göz, göz çevresi ve siluetinin yer aldığı görüntülerin tek başına ilgili kişiyi belirlemeye imkân sağlayacak nitelikte olmadığından hareketle yukarıda belirtilen menfaatin gerçekleştirilmesinin bahsi geçen görüntülerin aktarılması karşısında yarışabilir nitelikte olduğu,
Bu itibarla veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve kaybın önlenebilmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının, ilgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte bir yarar sağladığı ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın elde edilmesinin mümkün olmayacağı,
Bu çerçevede, meşru menfaatin ortaya koyulmasına ilişkin olarak yukarıda yer verilen kriterler esas alınarak yapılan değerlendirme sonucu; veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesini sağlamak ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerini ilan amacıyla yerel haber kanalına aktarmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendine göre, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında olduğu,
Öte yandan paranın iadesinin yapıldığına dair düzeltme niteliğinde haber yapıldığı, yayın esnasında ilgili kişinin parayı veznedara teslim ettiği, akabinde açıklamalarda bulunduğu da dikkate alındığında söz konusu şikâyette bulunmada hukuki bir yarar kalmadığı

değerlendirmelerinden hareketle;

Döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu bu itibarla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin kaydedilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi işleme şartına dayandığı, öte yandan ilgili kişinin kamera kaydı yapıldığına ilişkin aydınlatma yapılmadığı iddialarına ilişkin olarak veri sorumlusunun savunması ve eklerinde iletmiş olduğu fotoğrafların incelenmesinden döviz bürosunun muhtelif yerlerinde “Bu iş yeri güvenliğiniz için 7/24 kamera ile izlenmektedir” levhalarının asılı olduğu görüldüğünden, kamera kaydı yapıldığına ilişkin ilgililerin aydınlatılmasının sağlandığı kanaati hasıl olmuş olup ilgili kişinin söz konusu şikâyeti hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendine göre, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı kapsamında olduğundan hareketle bu hususta Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

02.Eylül.2022: “İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Karar Tarihi	:	02/09/2022
Karar No	:	2022/902
Konu Özeti	:	İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi

Kuruma intikal eden şikâyette özetle; veri sorumlusu şirket ile herhangi bir ticari faaliyette bulunulmamasına ve bu kapsamda iletişim onayı verilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rızası alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği, veri sorumlusuna yapılan başvurunun cevabında, ilgili kişiden yanlışlık için özür dilenerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtildiği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin pazar yeri olarak hareket eden bir satış platformundaki veri sorumlusunun mağazasından alışveriş yaptığı ve kendilerindeki bilgilerin kaynağının bu alışverişe istinaden kesilen faturadan kaynaklı olduğu,
Veri sorumlusu şirkete ait olan firmalardan birinin internet sitesinde kendi rızasıyla e-posta ya da kısa mesaj alabilmek için onay veren müşterilerine/üyelerine gitmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığı, gönderilen mesajların bazılarının iletildiği bazılarının iletilemediği,
İlgili yazılım firması ile görüşüldüğü ve hatalı gönderim yapılsa dahi kısa mesaj ve e-posta gönderilmemesi için gerekli önlemlerin alındığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/902 sayılı sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,

Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesine yer verildiği,
Somut olayda veri sorumlusu firmaya ait internet sitesinden SMS/e-posta alabilmek için onay veren müşterilere gönderilmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilere gönderilmiş olduğu, yapılan yanlışın fark edilmesi ile iptal işlemi başlatılmışsa da bazı müşterilere kısa mesaj iletilmesine engel olunamadığı dikkate alındığında; veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisini işlediği, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak bu hususta veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim yapmadığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından verilen yanıtta firmalarına ait olan internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilerine/üyelerine iletilmesi gereken mesajın sehven satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığının beyan edildiği dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapmadığı kanaatine varıldığından Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına,
Bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

02.Eylül.2022: “Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması”

Karar Tarihi	:	02/09/2022
Karar No	:	2022/896
Konu Özeti	:	Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması

Kuruma intikal eden şikâyette özetle; ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği, ilgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

Veri sorumlusunun işçi-işveren ilişkisi kapsamında tutmuş olduğu özlük dosyasında ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi kişisel verileri Kanun'un kişisel verilerin işlenme şartlarını düzenleyen 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentlerine ve İş Kanunu’na dayanarak işlediği,
Yasal yükümlülükler gereği oluşturulan işçi özlük dosyası haricinde ilgili kişinin açık rızasına bağlı olarak herhangi bir verisinin işlenmediği, ilgili kişiye ait özel nitelikli hiçbir kişisel verinin işlenmediği, ilgili kişiye ait kişisel verilerin yurt dışına aktarılmadığı,
İş Kanunu kapsamındaki yasal yükümlülük gereği kendilerinden hangi gerekçeyle evrak talep edildiğinin işçilere bildirilmesiyle sözlü olarak aydınlatma yükümlülüğünün yerine getirildiği, bununla birlikte yazılı bir aydınlatma metninin bulunmadığı,
İlgili kişinin başvurusuna iş yoğunluğu sebebiyle yasal süresi içinde cevap verilemediği,
İlgili kişinin diğer birkaç eski çalışan ile birlikte veri sorumlusunun markasına ait yazılım programlarını başka şirketlere sattığı, sahte imzalar atarak şirketin müşterileriyle akdettiği sözleşmeleri şirket yönetiminin bilgisi, onayı ve vekaleti olmaksızın başka bir paravan şirkete devrettiği, markanın çevrimiçi eğitim portallarını izinsiz olarak aktardığı ve bu yolla haksız kazanç elde ettiği, bu kapsamda ilgili kişinin iş sözleşmesindeki ticari sır saklama, şirket yazılımlarını üçüncü kişilerle paylaşmama, gizlilik anlaşmalarına aykırı davranmama vb. yükümlülüklere aykırı davrandığı,
Veri sorumlusunun bu durumu öğrenir öğrenmez ilgili kişinin iş sözleşmesini haklı sebeple feshettiği, ilgili kişinin ofisten ayrılırken şirketin kendisine tahsis ettiği iş bilgisayarında hem şahsi hem de şirketin sağladığı e-posta hesabının oturumunu açık unuttuğu, bahse konu hesaplardaki yazışmalar incelendiğinde ilgili kişinin şirketin yazılım ve ticari sırlarını çalarken şirket uzantılı e-posta adresinden kendi şahsi e-posta hesaplarına yönlendirmeler yaptığının anlaşıldığı ve akabinde ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

ifade edilmiştir.

Veri sorumlusu tarafından, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunmasının nedenleri açıklanmış olmakla beraber bu suç duyurusuna ilişkin bilgilerin ilgili kişinin kardeşine iletilip iletilmediği, iletildiyse bunun hukuki gerekçesinin ne olduğu sorusuna herhangi bir yanıt verilmediğinden veri sorumlusunu muhatap ikinci bir yazı ile söz konusu hususlarda bilgi talep edilmiş ancak veri sorumlusu tarafından bu yazıya cevap niteliğinde herhangi bir bilgi ya da belge Kuruma iletilmemiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/896 sayılı sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,

Bu çerçevede;

Veri sorumlusu firma tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği ancak ilgili kişinin açık rızasının alınmadığı iddiasına ilişkin olarak;

Veri sorumlusu ile ilgili kişi arasında iş sözleşmesinin kurulmuş olduğu, veri sorumlusunun ilgili kişiye ait kimlik bilgilerini 4857 sayılı İş Kanunu’nun “İşçi Özlük Dosyası” başlıklı 75’inci maddesinin 1’inci fıkrasında yer alan “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür” düzenlemesi uyarınca 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel verileri ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlediği,

Kişisel veri işleme faaliyeti çerçevesinde veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin olarak;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesi uyarınca aydınlatma yükümlülüğünün, veri sorumlusu ya da yetkilendirdiği kişi tarafından ilgili kişinin açık rızasına veya Kanun’daki diğer işleme şartlarına bağlı olarak kişisel veri işlenen her durumda sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilmesi gerektiği ve ispatının veri sorumlusuna ait bir yükümlülük olduğu, veri sorumlusunun aydınlatma yükümlülüğünün yerine getirildiğine ilişkin Kuruma tevsik edici herhangi bir belge göndermediği, arama motorları üzerinden yapılan araştırmada veri sorumlusuna ait internet sitesi incelendiğinde aydınlatma metnine yer verildiğinin görüntülendiği,

Veri sorumlusunun, ilgili kişinin kardeşinin e-posta adresine, ilgili kişinin adının geçtiği Savcılık şikayet dilekçesini ilettiği iddiasına ilişkin olarak;

İlgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin ilgili kişinin kardeşinin e-posta adresine hiçbir bağlantısı bulunmadığı halde iletildiği iddiası incelendiğinde; veri sorumlusundan ilgili kişinin kardeşine iletildiği belirtilen e-postaların içeriğinde “Bu doküman ekindeki yazışma ve kanıtlarla 500 sayfalık bir dosya ve kitapçık haline de getirildi, dava süreçleri yavaş işleyebilir, ama bu belgeler sizin eve, ana baba evlerinize, çalıştığın şirkete özel olarak teslim ediliyor, adresleri ancak bulabildik.” ifadesine yer verildiği, aynı e-postanın ekinde bir hukuk bürosu tarafından Cumhuriyet Başsavcılığına iletilen şikayet dilekçesine yer verildiği, bahse konu şikayet dilekçesinin şüpheliler kısmında sadece ilgili kişiye değil, diğer pek çok gerçek ve tüzel kişiye ilişkin bilgilere de yer verildiğinin anlaşıldığı,
Bununla birlikte veri sorumlusunun ilgili kişiye ait Savcılık şikayet dilekçesini hangi hukuki gerekçe ile ilgili kişinin kardeşi ile paylaştığı iddiasına cevap vermediği,
İlgili kişinin kardeşinin e-posta adresine veri sorumlusu tarafından iletilen dosyalar incelendiğinde iletilerde dört farklı gerçek kişinin kişisel verilerinin de hukuka aykırı şekilde paylaşıldığının görüldüğü, paylaşma işleminin Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı, bu kapsamda, veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği,

İlgili kişi tarafından yapılan başvurunun, veri sorumlusu tarafından cevapsız bırakıldığı iddiasına ilişkin olarak;

Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” düzenlemesi, (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” ve (3) numaralı fıkrasında “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.” düzenlemesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ), “Başvuruya cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” düzenlemesi, 5’inci fıkrasında ise “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” düzenlemesine karşılık veri sorumlusunun Kanun’a ve Tebliğ’e aykırı davranarak ilgili kişinin başvurusuna yasal süreler içerisinde cevap vermediği

değerlendirmelerinden hareketle;

Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi kapsamında ilgili kişiye ilişkin kimlik bilgilerinin 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel veri içeren belgelerin ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği değerlendirildiğinden kişisel veri işleme faaliyeti açısından veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına,
Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
İlgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmadığını iddia ettiği, veri sorumlusunun kişisel veri işlenmesine ilişkin sözlü olarak aydınlatma yapıldığını beyan ettiği ancak bu konuda tevsik edici bir belgenin Kuruma iletilmemiş olduğu, bununla birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu hususları dikkate alındığında, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına,
Veri sorumlusunun Kanun ve Tebliğ’den doğan “ilgili kişinin başvurusunun cevaplandırılması” yükümlülüğünü yerine getirmediği anlaşıldığından, veri sorumlusunun ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak ve Kanun ile Tebliğ’de öngörülen süreler içerisinde cevaplandırması gerektiği konusunda uyarılmasına; ayrıca ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
Öte yandan veri sorumlusunun Kurumun ikinci yazısına da cevap vermediği dikkate alındığında bundan sonraki süreçte Kurumca istenilen bilgi ve belge taleplerine zamanında cevap verilmesi hususunda uyarılmasına,
Şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

10.11.2022: “İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi”

Karar Tarihi	:	10/11/2022
Karar No	:	2022/1201
Konu Özeti	:	İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak bir arama motorunda adı ve soy adı ile yaptığı aramada ulaşılan sonuçların indeksten çıkarılması talebi

Kuruma yapılan şikâyette özetle; ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, verilen cevapta özetle;

https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresine ilişkin olarak ilgili kişinin öncelikle veri sorumlusu tarafından unutulma hakkına dayalı taleplerini iletmek isteyen ilgili kişiler için sağlanan etkili bir kanal olan çevrimiçi form aracılığıyla başvurduğu ve talebinin kayıt altına alındığı,
Veri sorumlusu tarafından ilgili kişinin talebinin süresi içinde ve Kişisel Verileri Koruma Kurulunun (Kurul) 23/06/2020 tarihli ve 2020/481 sayılı kararında öngörülen kriterler kapsamında değerlendirildiği, ilgili kişinin adının arama sonuçlarından kaldırılmasındaki mahremiyet menfaati ile halkın bilgiye erişim hakkı dahil ifade özgürlüğü arasında denge testi yapıldığı, eldeki olaya ilişkin tüm koşulları değerlendirdikten sonra veri sorumlusunun menfaat dengesinin arama sonuçlarında kalmasından yana olduğu sonucuna vardığı ve değerlendirmenin sonucuna ilişkin olarak ilgili kişiyi bilgilendirdiği,
Veri sorumlusunun üçüncü kişi internet sayfalarında sunulan beyanların doğruluğunu veya yanlışlığını değerlendirmeye uygun bir konumda olmadığı, dolayısıyla kamu menfaati için önem arz eden ancak halihazırda yanlış veya hakaretamiz olduğu iddia edilen ifadelerin ele alınması için uygun yöntemin mahkemelerin delilleri değerlendirmesi ve maddi gerçeklikleri tespit etmesi olduğu, unutulma hakkı konusunda rehber olarak Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararındaki kriterlerin dikkate alındığı, bununla birlikte ilgili kişinin başvurusuna konu olan URL adresinin bir Resmî Gazete kaydı olduğu ve bir mahkumiyet kararıyla değil ilgili kişinin lehine verilen bir beraat kararıyla ilgili olduğu,
İlgili kişinin başvurusuna konu olan https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresinin birden çok ilan içeren **/**/2000 tarihli Resmî Gazete’ye ilişkin olduğu, Resmî Gazete'nin **. sayfasında ilgili kişinin bazı suçlara istinaden yapılan bir yargılamadan beraat ettiğine dair karara ilişkin bir tebliğin yer aldığı, ayrıca ilgili kişinin ikametgahının ve iş yeri adresinin tespit edilememesi nedeniyle kararın ilgili kişiye tebliğ edilemediğinin ve 7201 sayılı Tebligat Kanunu’nun (Tebligat Kanunu) 28, 29 ve 31’inci maddeleri uyarınca kararın Resmî Gazete'de yayımı tarihinden itibaren 15 gün sonra davalıya tebliğ edilmiş sayılacağının belirtildiği, bu kapsamda söz konusu içeriğin Resmî Gazete'de yayınlanan ve herkesin erişimine açık bir ilan olduğu, Resmî Gazete’nin mevcut durumda olduğu üzere resmî tebligat veya kişilerin yokluğunda bir bildirim aracı olduğu gibi belirli durumlarda hukukun uygulanmasının yanı sıra arşiv ve bilgi almanın temel bir aracı olduğu,
Devlet kayıtlarının devletin kamu yararına olduğunu düşündüğü konular hakkında toplumu bilgilendirmekte çok önemli bir rol oynadığı ve devletin bilgilerin arama motorları aracılığıyla halk tarafından erişilebilir olması gerektiğine dair kararının kendi değerlendirmelerinde güçlü bir faktör olduğu, söz konusu URL adresinin bir kamu kurumu tarafından hukuki düzenlemeler kapsamında başlıca görevi kamusal bilgi alınması olan bir internet sitesinde kamuya açıklanmış ve arama motorlarında erişilebilir kılınmaya devam eden verilere ilişkin olduğu, söz konusu içeriğin kanun hükmü sebebiyle var olan resmî bir kayıt olduğu ve açıklanacağı üzere kamu kurumu kaynaklarından bilgi alma hakkının temel bir hak olduğu,
İçeriğin ilgili kanunların emrettiği şekilde Resmî Gazete'de yayınlanan bir mahkeme kararı ilanı olduğu dikkate alındığında veri sorumlusunun aksi yönde bir eyleminin hukuk ve uygulaması açısından elzem bilgileri edinmek isteyebilecek çok sayıda kişinin Anayasa'da düzenlenen temel haklarının ihlali sayılabileceğinin değerlendirildiği,
Ayrıca kararın bir beraat kararı olduğunun içerikte açıkça belirtildiği ve ortalama bir okuyucunun söz konusu suçları ilgili kişiyle ilişkilendirmeyeceği, hatta herhangi bir yerde ilgili kişiye söz konusu suçları işlediğine dair iddiaların yöneltilmesi halinde resmî kayıtların bu tip iddialara karşı kesin kayıt niteliğinde olacağı, ilanın dayanağı Tebligat Kanunu olduğundan bu bilginin işlenmesinin açıkça kanun tarafından öngörüldüğü ve işleme faaliyetinin aynı zamanda Kişisel Verilerin Korunması Kanunu’nun 28’inci maddesindeki muafiyetlerden “kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” kapsamında değerlendirilebileceği

açıklamalarına yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 10/11/2022 tarihli ve 2022/1201 sayılı kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
6698 sayılı Kanun’un “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15’inci maddesinin (5) numaralı fıkrasının ise “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” şeklinde olduğu,
Bu çerçevede, internette yer alan sayfalardaki kişisel veri barındıran içerikleri belirli bir sistematiğe göre indeksleyerek arama sonuçlarında listelemesi suretiyle gerçekleştirilen işlemlerin “kişisel veri işleme faaliyeti” olduğu, internet sitelerinden topladığı verilerin işlenmesinin amaç ve vasıtalarını belirlediği dikkate alındığında arama motoru işleticisi şirketin “veri sorumlusu” sıfatını haiz olduğu, somut olayda işlenen kişisel verilerin ise ilgili kişinin adı soyadı ile yapılan arama sonucunda erişilen ad-soyad, anne-baba adı, doğum tarihi, ikametgah adresi ve beraate ilişkin bilgiler olduğu,
İlgili kişinin başvurusunda yer alan talep konusunun “İlgili kişinin adı ile arama motoru üzerinden yapılan aramada https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresine ilişkin olarak ulaşılan sonucun arama motoru tarafından indeksten çıkarılması” yönünde olduğu,
Tebligat Kanunu’nun “İlanen Tebligat” başlıklı 28’inci maddesinin “Adresi meçhul olanlara tebligat ilanen yapılır…” hükmünü, “İlan şekli” başlıklı 29’uncu maddesinin ise “İlan suretiyle tebliğ, tebliği çıkartacak merciin mucip sebep beyaniyle vereceği karar üzerine aşağıdaki şekilde yapılır. 1. İlan alakalının ıttılaına en emin bir şekilde vasıl olacağı umulan ve varsa (…) (1) tebliği çıkaran merciin bulunduğu yerde intişar eden birer gazetede ve ayrıca elektronik ortamda yapılır. 2. Tebliğ olunacak evrak ve ilan sureti, tebliği çıkaran merciin herkesin kolayca görebileceği bir yerine de asılır. Merci, icabına göre ikinci defa ilan yapılmasına karar verebilir. İki ilan arasındaki müddet bir haftadan aşağı olamaz. Gerekiyorsa ikinci ilan, yabancı memleket gazeteleriyle de yaptırılabilir.” hükmünü haiz olduğu,
Tebligat Kanunu’nun “İlanın ihtiva edeceği kayıtlar” başlıklı 30’uncu maddesinin “İlanda, alakalıların ad ve soyadları, işleri, ikametgâh veya mesken yahut iş yerleri, tebliğ olunacak evrak muhteviyatının hulasası, tebliğin anlaşılabilecek şekilde mevzuu, sebebi, ilanın hangi merciden verildiği, ilan daveti tazammun ediyorsa nerede ve ne için, hangi gün ve saatte hazır bulunulacağı yazılmak lazımdır.” ifadelerini, “İlanen tebligatta tebliğ tarihi” başlıklı 31’inci maddesinin ise “İlanen tebliğ, son ilan tarihinden itibaren yedi gün sonra yapılmış sayılır. İlanen tebliğe karar veren merci, icabına göre daha uzun bir müddet tayin edebilir. Ancak, bu süre 15 günü geçemez.” ifadelerini içerdiği,
Öte yandan, “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler” hakkında Kurul tarafından verilmiş olan 23/06/2020 tarihli ve 2020/481 sayılı kararda ile “kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay üzerinde incelenecek kriterlerin” belirlendiği ve söz konusu kriterlerin “ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması” başlıkları ile belirlendiği, bu kapsamda somut olaya ilişkin şikâyetin söz konusu kriterler çerçevesinde değerlendirilmesine ihtiyaç duyulduğu,
İlgili kişinin şikâyetinde yer alan https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresinde ilgili kişiye ait açık kimlik ve hüküm özeti, beraat ve ilanen tebligat bilgilerinin bulunduğu,
Somut olayın arama motoru üzerinden yapılan aramada çıkan sonuçların indeksten çıkarılmasına ilişkin olarak Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararı ile belirlenen kriterler çerçevesinde incelenmesi neticesinde; ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu, bu kapsamda söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu göz önünde bulundurulduğunda yayınlanmasında kamu yararının bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikâyete konu URL adresinde yer alan Resmî Gazete’nin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla sürenin geçmiş olduğu, bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsamadığı,
Öte yandan incelemeye konu şikâyet ile benzer olarak unutulma hakkına yönelik talebin yargı mercileri önüne taşındığı ilk davanın konusunun Costeja Gonzales’in arama motoru Google’da adını yazması sonucunda La Vanguardia isimli gazetenin iki farklı tarihli sayfasında çıkan kişinin sosyal güvenlik borçlarını ödeyemediği için mülkünü satmak zorunda kalmasına ilişkin bilgilerin gazete sayfalarından ve Google ile Google İspanya arama sonuçlarından kaldırılmasını ve gizlenmesini talep etmesine ilişkin olduğu, Gonzales’in bu talebini temelde kendisiyle ilgili prosedürün yıllar önce sonuçlandığı ve artık bu haberlerin tamamen yersiz ve ilgisiz olduğu gerekçesine dayandırdığı,
İspanya Veri Koruma Otoritesi tarafından yapılan değerlendirmede; ulusal mevzuat çerçevesinde ilan verilmesinin zorunlu olduğu ve birçok kişinin bu bilgiye ulaşmasında veri sorumlusunun menfaatinin bulunduğu gerekçesi ile La Vanguardia hakkındaki şikâyetin reddedilmesine ama arama motoru işletmecilerinin veri koruma mevzuatına tabi oldukları gerekçe gösterilerek Google tarafından ilgili linklerin kaldırılmasına karar verildiği,
Bunun üzerine Google’ın temyiz yoluna başvurduğu, İspanya Yüksek Ulusal Mahkemesinin de konu hakkında görüş bildirmesi için davayı Avrupa Birliği Adalet Divanı’na (ABAD) taşıdığı,
ABAD’ın 2014 yılında verdiği kararında özetle; arama motorunda yapılan aramada çıkan sonuçlar “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenme amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin ifade edildiği, ayrıca kişinin özel hayatının gizliliği hakkının arama motorunun ekonomik çıkarı ile kamunun bilgiye erişim hakkının üzerinde olduğu değerlendirmesinde bulunulduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmesinde üstün bir yararı var ise uygulanmayacağı, verilerin işleme amacı bakımından yetersiz, ilgisiz olması veya bu amacı aşması, güncellenmemesi ve gereğinden uzun tutulmaması gerekliliği gibi nedenlerle silme talebinde bulunulabileceğinin vurgulandığı, ABAD tarafından unutulma hakkına ilişkin verilen kararın 95/46/EC sayılı Direktif’in ilgili hükümlerine göre verildiği,
İlerleyen süreçte Avrupa Birliği tarafından kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün “Silme hakkı (Unutulma Hakkı)” başlıklı 17’nci maddesinde de unutulma hakkının ayrıca tanımlanmadığı ancak “silme” yükümlülüğü kapsamında değerlendirildiği, anılan düzenlemede bu hakkın kullanımı bakımından veri işleme şartlarının ortadan kalkmış olması gerektiği durumuna atıfta bulunularak hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği,

değerlendirmelerinden hareketle;

Şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişinin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğin yapılmasının sağlanması olduğu, bununla birlikte Tebligat Kanunu kapsamında ve Resmî Gazete’de belirtildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçekleştiği, bununla birlikte ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayınlanmasında kamu yararı bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/863
Konu Özeti	:	Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdiği, akabinde kendisiyle iletişim kurulmasına ilişkin rıza vermediği ve tarafına herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı, ilgili hususta veri sorumlusu bankaya başvurduğu, posta gönderi takibinden banka tarafından başvurunun teslim alındığı görüntülenmişse de yasal süresi içerisinde cevap verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

Müşterilerin, Kanun kapsamındaki talep ve şikâyetlerini kimlik, tevsik edici belgeler ve talebi içeren dilekçe ile şubelere bizzat elden veya noter kanalıyla, KEP adresine, güvenli elektronik imza, mobil imza ya da bankaya daha önce bildirilen ve sistemlerinde kayıtlı bulunan elektronik posta adresleri kullanılmak suretiyle iletmeleri gerektiği, bu itibarla ilgili kişinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 5’inci maddesine uygun olmayan başvurusu ile Kanun’un 14’üncü maddesi kapsamında Kurula şikayet yoluna gitmesinin mümkün olmadığı,
İlgili kişinin başvuru dilekçesinin bankaya tebliğ edilmesi ile birlikte, başvurunun Merkezi Operasyonlar Bölüm Başkanlığı tarafından Bildirim Yönetim Sistemine (BYS) aktarıldığı, ilgili kişinin sistemde kayıtlı olan e-posta adresine “Dilekçenize konu hususlar ilgili birimimize iletilmiş olup, en kısa sürede tarafınıza dönüş gerçekleştirilecektir.” açıklaması ile e-posta gönderildiği,
Müşteri bildiriminin bankaya “posta” kanalı ile geldiği, dolayısıyla müşteri kimlik doğrulaması yapılan kanallar ile başvuru bankaya iletilmediğinden Kanun kapsamında değerlendirilebilmesi için başvurunun iletilmesi gereken kanallar hakkında ilgili kişiye bilgi vermek amacıyla cevabın ilgili kişinin banka sisteminde kayıtlı olan posta adresine iletilerek ilgili bildirimin sonuçlandırıldığı,
İlgili kişinin başvuru dilekçesinde yer alan posta ve e-posta adresinin banka kayıtlarında yer alan adreslerden farklı olduğu, banka kayıtlarında bulunan resmi imza örnekleri ile başvuru dilekçesinde yer alan imzaların da uyuşmadığı görüldüğünden banka cevabının müşterinin sistemde kayıtlı olan adresine gönderildiği, adi posta ile gönderildiğinden cevabın müşteriye ulaşıp ulaşmadığının teyit edilemediği,
Pandemi süreci ile birlikte Bildirim Yönetim Sistemine gelen bildirimlerin geçen yıla oranla 3 kat arttığı, bildirimin açıldığı tarih olan 06.07.2020 tarihi itibariyle Bildirim Yönetim Sisteminde bulunan bildirim adedinin yaklaşık 47 bin olduğu, mevcut personel kadrosu ile bildirimlerin sonuçlandırılmaya çalışıldığı ancak gelen bildirim sayısındaki olağanüstü artış nedeni ile söz konusu bildirime farklı tarihlerde ara bilgilendirme ve sonuç bilgilendirmesi yapılabildiği,
İlgili kişinin başvurusuna da her ne kadar Kanun kapsamında geçerli bir başvuru olmasa da gerekli işlem yapılarak akabinde müşteriye konu hakkında bilgi de verildiği, Kuruma yapılan şikayetten önce banka tarafından işlem yapıldığından, şikayetin konusuz kaldığı, haklı ve yasal dayanağın da bulunmadığı,
Banka tarafından ilgili kişiye iki konu için arama yapıldığı; ilk aramanın ilgili kişinin açık rıza beyanının öğrenilmesi için Banka Müşteri İletişim Merkezi tarafından gerçekleştirildiği, söz konusu görüşmede ilgili kişinin onay vermeyeceğinin öğrenildiği ancak müşteriyi doğrulamadan ret bilgisi banka tarafından sisteme kaydedilemeyeceğinden bilgi vermek için görüşmeye devam edilmek istendiği fakat ilgili kişi tarafından müşteri temsilcisinin konuşmasına fırsat verilmediği ve konuyla ilgili şubeden bilgi alabileceğinin belirtildiği esnada telefonun ilgili kişi tarafından kapatıldığı; ikinci aramanın ise internet bankacılığı ürünü sahibi olan ancak bu ürünü kullanmayan ve iletişim izni olan tüm müşterilere yapılan dış arama kapsamında gerçekleştirildiği, bu aramada müşterinin bir sorun yaşayıp yaşamadığının sorulduğu, şifresi yoksa şifre oluşturabileceği yönünde bilgi/hizmet verildiği, yeni bir ürün hizmet tanıtımı ya da satışının yapılmadığı, ancak ilgili kişinin detaylı bilgi vermeye fırsat vermeden onayı olmadan arandığı için şikayetini ilettiği,
İlgili kişinin kişisel verilerinin banka tarafından işlenmesine yönelik hukuka aykırılığın bulunmadığı; müşterilerin kişisel verilerinin de banka ile girmiş oldukları sözleşmesel ilişki ve yasal yükümlülükler sebebi ile işlendiği, ilgili kişinin iletişim izni 01.08.2015 tarihinden bu yana “evet” olarak göründüğünden banka tarafından ilgili kişinin açık rıza beyanının öğrenilmesi ve 12.01.2016 tarihinden itibaren sahip olduğu ve kullanmadığı internet bankacılığı ile ilgili bir sorun yaşayıp yaşamadığının öğrenilmesi amacıyla, banka ile ilgili kişi arasında mevcut olan sözleşmesel ilişki kapsamında arandığı,
İlgili kişinin Kuruma iletilen şikâyet dilekçesindeki hususların gerçeği yansıtmadığı, başvurunun ilgili kişinin kötü niyetini açık bir şekilde ortaya koyduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 01/09/2022 tarih ve 2022/863 sayılı sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
İlgili kişinin Kanun’un 13’üncü maddesi uyarınca veri sorumlusuna başvurusunu posta yoluyla yazılı olarak ilettiği, başvurusunda Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde belirtilen ad-soyad, imza, T.C. kimlik numarası, e-posta adresi, tebligata esas yerleşim yeri adresi ile Kanun’un 11’inci maddesinde yer alan hakları çerçevesinde taleplerine ve başvuru ekinde de kimlik fotokopisine yer verdiği, veri sorumlusu tarafından ise ilgili kişinin başvurusunda yer alan adresten farklı olan ancak banka sistemlerinde kayıtlı olan adrese başvurunun zorunlu unsurlarının eksik olması sebebiyle kabul edilmediği şeklinde cevap verildiği, bahse konu yazının adi posta ile gönderilmiş olması sebebiyle ilgili kişiye ulaşıp ulaşmadığının banka tarafından tespit edilemediği, ilgili kişinin Kanun ve Tebliğ’e uygun olarak veri sorumlusuna başvurduğu, veri sorumlusunun cevabının otuz günlük yasal süreden sonra gönderildiği ve bu cevabın da ilgili kişiye tebliğ edildiğinin veri sorumlusunca ispat edilememiş olduğu dikkate alındığında ilgili kişinin Kanun’un 14’üncü maddesi uyarınca cevap verilmemiş olması gerekçesiyle “…başvuru tarihinden itibaren altmış gün içinde” Kuruma şikayette bulunmasında usul açısından herhangi bir hukuka aykırılık görülmediği,
Öte yandan ilgili kişilerin Kanun'un 11’inci maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların "adi posta" ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceğinin değerlendirildiği,
Kanun’un 5’inci maddesinde kişisel verilerin işlenme şartlarından biri olarak sayılan açık rızanın Kanun’un 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve dolayısıyla “belirli bir konuya ilişkin olma”, “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” şeklinde üç unsuru bulunduğu, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulmasının ve ilgili kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi gerektiği, kişinin yalnızca konu üzerinde değil rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka kişisel verinin işlemesinden önce yapılması gerektiği,
01.08.2015’ten bu yana ilgili kişinin iletişim izninin “evet” olarak göründüğü, buna istinaden eksik olduğu anlaşılan açık rıza beyanının öğrenilmesi ve 12.01.2016’dan itibaren sahip olduğu ancak aktif olarak kullanmadığı tespit edilen internet bankacılığı ile ilgili sorun yaşayıp yaşamadığının öğrenilmesi amacıyla iki defa arandığı, Kanun’un “Geçiş Hükümleri” başlıklı Geçici 1’inci maddesinin üçüncü fıkrasında “… Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanı bulunulmaması halinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği, Kanun’un yayımından önce mevcut hukuk kurallarına uygun olarak alınmış rızaların bir yıl içinde ilgili kişilerce aksi bir irade beyanında bulunulmadığı sürece geçerli olduğu, bu durumda yeni rıza alınmasına ya da güncellenmesine gerek olmadığı,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı Kanun) “Tanımlar” başlıklı 2’nci maddesinde “ticari elektronik ileti”nin; telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler olarak tanımlandığı, “Ticari elektronik ileti gönderme şartı” başlıklı 6’ncı maddesinin birinci fıkrasında “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.” hükmüne yer verildiği,
6563 sayılı Kanun’a dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin (Ticari İletişim Yönetmeliği) “Onay gerektirmeyen durumlar” başlıklı 6’ncı maddesinde de “Alıcının kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. Devam eden abonelik, üyelik veya ortaklık durumu ile tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler ile hizmet sağlayıcıya ilgili mevzuatla getirilen bilgi verme yükümlülüğü durumlarında önceden onay alma zorunluluğu aranmaz. Ancak bu tür bildirimlerde herhangi bir mal veya hizmet özendirilemez veya bunların tanıtımı yapılamaz.” düzenlemesine yer verildiği,
6563 sayılı Kanun’un 6’ncı maddesi ile Ticari İletişim Yönetmeliği’nin 6’ncı maddesi uyarınca, devam eden abonelik sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, banka tarafından ilgili kişinin eksik olduğu anlaşılan açık rızasının alınmasına yönelik bilgilendirilmesi ile 12.01.2016’dan bu yana sahip olunan internet bankacılığı hizmeti ile ilgili olarak yine farklı bir ürün tanıtımı yapılmaksızın bilgilendirilmesi amacıyla aranmasının 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülme" hukuki işleme şartına dayalı olarak gerçekleştirildiği kanaatine varıldığı,
İlgili kişinin veri sorumlusu tarafından kişisel verilerinin işlenmesine yönelik aydınlatılmadığını, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediğini iddia ettiği, veri sorumlusu bankaya ilgili hususun sorulduğu ancak alınan cevabi yazıda buna ilişkin herhangi bir açıklamaya yer verilmediği,
Veri sorumlularının aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür” şeklinde düzenlendiği,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiş olup anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir” hükmüne, (f) bendinde ise “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmüne yer verildiği,
İlgili kişinin kişisel verisi olan cep telefonu numarası bilgisinin tanıtım amacıyla açık rızasına ya da Kanun’da yer alan diğer işleme şartlarına dayalı olarak işlendiği hususunda aydınlatıldığına dair Kurumca talep edilmiş olmasına rağmen veri sorumlusu tarafından herhangi bir bilgi verilmemiş olması sebebiyle konu hakkında veri sorumlusunun web sitesi üzerinde inceleme yapıldığı, veri sorumlusunun web sitesinde “Bize Ulaşın” sekmesi altında “Kişisel Verilerin İşlenmesi ve Korunması Hakkında Bilgilendirme”nin bulunduğu, bu bölüme girildiğinde "Veri Sorumlusunun Aydınlatma Yükümlülüğü" başlıklı 10’uncu maddesi kapsamında veri sorumlusunun kimliğine, kişisel verilerin hangi amaçla işleneceğine, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğine, kişisel veri toplamanın yöntemi ve hukuki sebeplerine, ilgili kişinin Kanun’un 11’inci maddesinde sayılan haklarına yönelik asgari bilgilere yer vermek suretiyle genel aydınlatma yükümlülüğünün yerine getirildiği kanaatine varıldığı,
Daha önce belirtildiği üzere Kanun’un “Geçiş Hükümleri” başlıklı Geçici’1 inci maddesinin (3) numaralı fıkrasında “Bu kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanı bulunulmaması halinde, bu Kanuna uygun kabul edilir.” hükmünün yer aldığı,
Şikâyete konu somut olayda, ilgili kişinin kişisel verilerinin ilk elde edilişinin 6698 sayılı Kanun’un yürürlük tarihi öncesi (01.08.2015) olduğu, ilgili kişinin iletişim izninin anılan tarihten itibaren evet olarak göründüğü, Kanun’un yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksi yönde bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediğinin anlaşıldığı

değerlendirmelerinden hareketle;

İlgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesi ile Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği’nin 6’ncı maddesinin (2) numaralı fıkrası uyarınca, devam eden müşteri ilişkisi sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, kullanılmakta olan hizmete ilişkin bilgi verilmek amacıyla 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülme" hukuki işleme şartına dayalı olarak işlendiği kanaatine varıldığından, veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına,
İlgili kişinin veri sorumlusuna posta yoluyla yazılı olarak ilettiği başvurusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesinde belirtilen zorunlu unsurları içerdiği ve ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun Kanun’un 13’üncü maddesi kapsamında kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına, ayrıca veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
İlgili kişilerin Kanun'un 11’inci maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların "adi posta" ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceği değerlendirilmiş olduğundan veri sorumlusunun Tebliğ’in 6’ncı maddesine uygun olarak ilgili kişilere göndereceği kişisel bilgi içeren cevapları daha güvenilir ve takip edilebilir bir yöntemle iletmesi hususunda uyarılmasına, ilgili kişinin 6698 sayılı Kanun’un yürürlük tarihi öncesi olan 2015 yılından beri bankanın müşterisi olduğu, iletişim izninin evet olarak göründüğü, Kanun’un yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksine bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediği hususları dikkate alındığında, ilgili kişinin aydınlatma yükümlülüğünün yerine getirilmediği iddiasına yönelik veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına

karar verilmiştir.

20.Ekim.2022: “İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi"

Karar Tarihi	:	20/10/2022
Karar No	:	2022/1147
Konu Özeti	:	İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesine ilişkin şikâyet

İlgili kişinin Kuruma intikal eden şikayetinde özetle;

Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı,
Öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı,
Yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü,
Şikayete konu durum ve delillerin Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D.İş sayılı dosyası üzerinden Bilirkişi Raporu ile tespit edildiği,
Veri sorumlusuna yapılan başvuruda ilgili kişiye ait kişisel verilerin imhası ve bu konuda kendisine bilgi verilmesinin talep edilmesine karşın veri sorumlusu tarafından bu konuda bir işlem yapılmayıp hatalı ve eksik bilgi verildiği, veri sorumlusu tarafından ilgili kişinin aydınlatma metnini imzaladığı ifade edilmiş ise de bu aydınlatma metninin iş akdi süresi içerisinde sınırlı olduğu, zira içerisinde “Kişisel verileriniz, iş akdiniz devam ettiği sürece yukarıdaki amaçlarla ve bu amaçların gerektirdiği süre boyunca saklanacaktır.” ibaresinin yer aldığı,
Veri sorumlusu tarafından ilgili kişiye çalıştığı süre boyunca iki adet şirket hattı tesis edildiği iddia edilmiş ise de kargo şirketine bildirilen numaranın, ilgili kişinin şahsî cep telefonu numarası olduğu, ilgili kişiye işten ayrıldıktan sonra gelen kargo SMS’lerinin de bunun kanıtı olduğu, şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarında alıcı olarak halen ilgili kişinin telefon numarasının verildiği, bu durumun iş akdinin bitmesiyle birlikte hukuka aykırı hale geldiği,

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin görev tanımında ana sorumluluğunun “… müşterileri satın almaya teşvik edecek en iyi atmosferi yaratmak…” olarak belirlendiği, dolayısıyla ilgili kişinin mesleğini, satışa yönelik pazarlama faaliyetleri çerçevesinde sunarak gerçekleştirmesinin, işe alındığı pozisyonun gereği olduğu ve görev kapsamı içerisinde bulunduğu, bu hususlarının tümünün ilgili kişiye imzalatılan iş akdinde yer aldığı,
İlgili kişiye imzalatılan aydınlatma metninde bulunan “İşlenen kişisel verilerinizin yurt içindeki aktarımı” başlıklı maddenin altıncı bendinde “yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vb. işlevlerin yerine getirilmesi amacıyla tedarikçi ve çözüm ortaklarıyla verilerin paylaşılabileceği” hususunun yer aldığı, bu hukuki mesnede binaen ilgili kişinin şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağı, ilgili kişinin işi gereği şirketin tanıtım yüzlerinden biri olduğu, ilgili kişinin bu işi bilerek kabul etmesine karşın iş akdi feshedildikten sonra bu hükümleri kötü niyetle şirket aleyhinde yorumlamaya çalıştığı,
İlgili kişinin “kargo paketi üzerinden görüldüğünden bahisle cep telefonu bilgisinin şirketçe işlenmeye devam edilmesi” iddiasının da izahtan vareste olduğu, bu konuda bir delil olmadığı, açıkça kötü niyetli bir iddia olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 20/10/2022 tarih ve 2022/1147 sayılı Kararı ile;

Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un 7’nci maddesinde “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” hususu düzenlenmiş olup maddede; “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükümlerine yer verildiği,
Ayrıca 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasının (a), (b) ve (c) bentleri uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idarî tedbiri almakla mesul tutulduğu,
Somut olaya ilgili kişinin reklam ve pazarlama amacıyla yayınlanan görüntülerinin ilgili kişinin veri sorumlusu bünyesinde çalışırken kendisinin iş tanımı kapsamı içerisinde alındığının anlaşıldığı ve bu nedenle söz konusu kişisel verilerin, veri sorumlusu bünyesindeki arşivlerde yasal süre müddetince muhafaza edilmesinin hukuka uygun olduğu kanaatine ulaşılmış ise de ilgili kişinin mesleğinin esas itibariyle mimarlık olup bu mesleğin icrasının ekran önünde görünmeyi gerektirmemesi ve ilgili kişi ile veri sorumlusu arasındaki çalışma akdinin hâlihazırda feshedilmiş olması, dolayısıyla ilgili kişinin başka bir şirket nezdinde çalışmaya başlaması veya kendi ticari faaliyetlerini yürütmeye karar vermesi gibi durumlarda veri sorumlusunun halen ilgili kişinin görüntülerini kullanarak reklam ve pazarlama maksatlı faaliyetler yürütmesinin hayatın olağan akışına aykırı olacağı,
Veri sorumlusunun ilgili kişiye verdiği cevapta, her ne kadar söz konusu cep telefonu numarasının, ilgili kişi tarafından iş süreçlerinde kullanılması amacıyla kargo şirketlerine kendi iradesiyle verildiği iddia ediliyor ise de Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler gereğince işlemekte olduğu kişisel verileri bu ilkelere uygun bir şekilde doğru ve güncel tutması, elde etme amaçlarına uygun bir şekilde kullanması ve yalnızca hukukî sebep bulunduğu durumlarda, yasal süre müddetince muhafaza etmesi hususunda aktif özen yükümlülüğü altında bulunan veri sorumlusunun, iş akdini feshettiği bir çalışanının cep telefonu numarasını kendisine ait iş süreçlerinde kullanmak suretiyle, uhdesinde işlediği kişisel verilerin doğru ve güncelliğini sağlayamamış olduğu, veri sorumlusunun, ilgili kişinin kargo şirketi nezdinde kayıtlı bulunan cep telefonu numarasını yeni yetkili kişininki ile değiştirdiğini kargo şirketine bildirmediği ve ilgili kişinin kişisel verilerinin kullanımını sonlandırabilecek iken bunu yapmayarak ilgili kişinin kişisel verilerinin korunması adına gerekli hassasiyeti göstermediği,
Zira şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarının alıcısı olarak halen ilgili kişinin göründüğü, bu sebeple kargo şirketi tarafından ilgili kişinin kayıtlı kişisel cep telefonu numarasına SMS gönderimi yapıldığının görüldüğü, bu nedenle veri sorumlusunun Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı davrandığı,
Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D. İş sayılı dosyasında yer alan Bilirkişi Raporundan ilgili kişinin iş akdinin fesih edildiği tarihten sonra yapılan pek çok satışta “işlemi gerçekleştiren” sorumlu personel olarak gösterildiğinin anlaşıldığı, bu minvalde işlemi yapan kişi olarak ilgili kişinin göründüğü belgeler tanzim edildiği, ilgili kişinin kişisel verilerinin bu bakımdan, veri sorumlusu nezdinde Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı bir şekilde işlendiği,
6698 sayılı Kanun’da gösterilen genel ilkeler ve veri işleme şartlarına aykırı bir şekilde işlenen kişisel verilerin; veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde ifade olunan, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almadığını gösterdiği,

değerlendirmelerinden hareketle,

İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına,
Diğer taraftan, ilgili kişinin hukuka aykırı bir şekilde işlendiği anlaşılan şahsî cep telefonu bilgisinin veri sorumlusu ve kargo şirketi kayıtlarından, isim ve soy isim bilgilerinin ise iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinden imha edilmesi, buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve bu tutanaklar ile ilgili belgelerin muhatabınca tebellüğ edildiğine dair delillerin Kurula da gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/861
Konu Özeti	:	İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlenmesi

Kuruma intikal eden dilekçede özetle; ilgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildiği, ilgili kişi tarafından veri sorumlusuna ait e-posta adresine başvuruda bulunularak iletişim bilgilerinin ve kimlik bilgilerinin nereden ve nasıl temin edildiğinin sorulduğu, tarafına reklam/kampanya içerikli e-postaların gönderilmemesinin, kişisel verilerinin imha edilmesinin ve imha edilen bilgiler hakkında tarafına bilgi verilmesinin talep edildiği ancak veri sorumlusu tarafından verilen cevapta sadece e-posta adresi ve bilgilerinin kayıtlardan silindiğinin belirtildiği, verilerinin nereden temin edildiğine ilişkin herhangi bir bilgi verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu şirketten savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketlerinin avukat büroları için yazılımlar ürettiği ve pazarladığı, avukatlık bürolarına tanıtım faaliyetlerinde bulunmak için avukatlık bürolarında çalışan avukatların e-posta adreslerinin internet arama motorlarında yapılan aramalardan temin edildiği, burada bulunan bilgilerden kişinin sadece isim, çalıştığı büro adı ve e-posta adresi bilgilerinin sistemlerine kaydedildiği,
Pazarlama içerikli e-postanın 6563 sayılı "Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan "Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir" hükmüne dayanılarak gönderildiği, ilgili e-postanın kişinin mesleği ile ilgili bir yazılım ürününün tanıtımı amaçlı olduğu,
İlgili kişiye gönderilen e-postanın sonunda e-posta listesinden çıkılmasının talep edilebileceğine ilişkin "Bu E-Posta ile rahatsızlık verdiysek özür dileriz. E-Posta Listemizden Çıkmak için Tıklayınız" şeklinde bir metin ve bağlantının bulunduğu, ilgili kişinin bu bağlantıyı kullanarak firmaya talepte bulunduğu ve ilgili kişinin e-posta adresinin kayıtlardan silindiği, bünyelerindeki avukatlık büro adresleri ve kişisel verilerin başka hiçbir tüzel kişiliğe aktarılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 01/09/2022 tarihli ve 2022/861 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
İlgili kişinin kişisel verilerinin Kanuna aykırı olarak işlendiği iddiası bakımından yapılan incelemede; Karar tarihi itibariyle arama motorlarında yapılan araştırmada, avukat sorgulamasına ilişkin hizmet veren çeşitli internet sitelerinde yer alan ilgili kişinin e-posta adresinin şikayet edilen adresten farklı olduğu, şikayete konu e-posta adresine internet ortamında erişilememiş olmakla birlikte şikayete konu olayın gerçekleştiği tarihte, veri sorumlusu tarafından belirtilen büroda çalıştığı ve veri sorumlusu tarafından bahse konu e-posta adresinin internet arama motorlarından temin edildiğinin beyan edildiği dikkate alındığında, şikayete konu e-posta hesabının da şikayet tarihinde internet arama motorları üzerinden herkesin erişimine açık olacak şekilde alenileştirildiği kanaatine varıldığı,
Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğu, ancak ilgili verinin alenileştirilmiş olmasının diğer bir ifadeyle kamuya açık hale getirilmiş olmasının bu kişisel verilerin her türlü amaç için işlenebileceği anlamına gelmediği, ancak alenileştirme amacıyla bağlantılı ve amaçla sınırlı olarak işlenebileceği, şikayete konu somut olayda ise ilgili kişinin iş e-posta adresinin avukatlık mesleğine yönelik yapılacak iletişimler kapsamında aleni hale getirildiği, pazarlama/reklam amacıyla yapılacak işlemlere ilişkin bir alenileştirme iradesini içermediği,
Diğer taraftan, veri sorumlusunun avukat olan ilgili kişinin e-posta adresini 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan "Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir" hükmüne istinaden reklam amaçlı ileti göndermek suretiyle işlediğini belirtmesine karşın, 1136 sayılı Avukatlık Kanunu’nun “Avukatlıkla birleşemeyen işler” başlıklı 11’inci maddesinde “Aylık, ücret, gündelik veya kesenek gibi ödemeler karşılığında görülen hiçbir hizmet ve görev, sigorta prodüktörlüğü, tacirlik ve esnaflık veya meslekin onuru ile bağdaşması mümkün olmayan her türlü iş avukatlıkla birleşemez” hükmüne yer verilerek avukatların ne esnaf ne de tacir sıfatıyla hareket edemediği belirtildiğinden avukat olan ilgili kişiye bu hükme dayanılarak onay alınmaksızın ticari ileti gönderilemeyeceği,
Dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunması sebebiyle Kanun’un 12’nci maddesinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davrandığı,
Veri sorumlusu tarafından ilgili kişiye verilen yanıtın yetersiz olduğu iddiası bakımından yapılan incelemede; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 6’ncı maddesinin, “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir… (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünü haiz olduğu, veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta sadece kişisel verilerinin silindiği yönünde bilgi verildiği ancak ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki diğer bilgi taleplerinin yanıtsız bırakıldığının tespit edildiği,
Veri sorumlusunun ilgili kişiye ve Kuruma ilettiği cevap yazılarında ilgili kişiye ait ve sistemlerinde kayıtlı olan kişisel verilerin sistem kayıtlarından silindiğini beyan etmesine karşılık silmeye ilişkin tevsik edici herhangi bir belge ibraz etmediği

değerlendirmelerinden hareketle;

İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı, veri sorumlusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına; diğer taraftan ilgili kişiye başvurusunda talep ettiği hususlara ilişkin olarak açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kuruma bilgi vermesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
Veri sorumlusu tarafından Kuruma sunulan cevabi yazıda, ilgili kişinin talebi üzerine ilgili kişiye ait e-posta adresinin kayıtlardan silindiği bilgisi verilmekle birlikte silmeye ilişkin tevsik edici herhangi bir belgenin yazı ekinde sunulmadığı ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından; veri sorumlusunun, ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi ve buna ilişkin kayıtların Kuruma iletilmesi gerektiği yönünde talimatlandırılmasına

karar verilmiştir.

07.Ekim.2022: “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	07/10/2022
Karar No	:	2022/1072
Konu Özeti	:	İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edildiğine ilişkin veri sorumluna başvurarak e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı bilgisini edindiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

E-posta gönderen şahsın şirkette kısa bir süre çalıştığı ve daha sonra istifa ettiği, bahse konu yazışmaların şirketin bilgisi ve onayı dahilinde yapılmadığı, Kurum tarafından şirkete tebliğ üzerine konudan haberdar olunduğu,
Söz konusu işlem, şirket eski çalışanı tarafından şirketin bilgisi ve onayı dışında yapılmış olduğundan hangi kişisel verinin hangi amaçla işlendiği konusunda bilgi sahibi olunmadığı,
Dolayısıyla ilgili kişinin açık rıza beyanına ilişkin tevsik edici bir belgenin de mevcut bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/10/2022 tarih ve 2022/1072 sayılı Kararı ile;

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin düzenlendiği,
Kurul tarafından “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen” alınan 16/10/2018 tarihli ve 2018/119 sayılı İlke Kararı’nda; “İlgili kişilerin rızalarını almadan veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15’inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği; Kanun’un 12’nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu; belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği; bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanunu’nun ‘Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme’ başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanunu’nun 158’inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği” hususlarının karara bağlandığı,
Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu ibaresinin yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu, bununla birlikte (2) numaralı fıkrasında; “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” ifadesi bulunurken (3) numaralı fıkrasında “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmünün yer aldığı,
Somut olaya konu reklam amaçlı e-postaların, somut olayın yaşandığı tarihte veri sorumlusu bünyesinde çalışan personel tarafından kurumsal e-posta adresi üzerinden ilgili kişinin elektronik posta adresine gönderildiği; veri sorumlusunun ilgili kişinin kişisel verisi niteliğindeki elektronik posta adresinin veri sorumlusunun çalışma alanı çerçevesinde reklam ve pazarlama amaçları doğrultusunda kullanıldığı ve ilgili kişinin açık rızasının alınmadığının anlaşıldığı, bu kapsamda ilgili kişinin e-posta adresine izinsiz reklam içerikli ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
Somut olayda ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin, hukuka aykırı olarak işlendiği dikkate alındığında; Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak ilgili kişinin kişisel verisinin imha edilmesi ve söz konusu imha işlemlerini tevsik edici belgelerin Kurula iletilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/853
Konu Özeti	:	Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi

İlgili kişinin şikâyetinde özetle;

Nisan 2022 içerisinde ilgili kişinin şahsi e-posta hesabı olan *************@gmail.com’a yasal bahis platformu olan ******.com tarafından bir e-postanın gönderildiği ve söz konusu e-postada özetle “Sayın ******* ******, Üyelik işlemleriniz ile ilgili detayları aşağıda bulabilirsiniz: Üye Numaranız: ********. Üye numaranız, kullanıcı adınız, TC kimlik numaranız ile ******.com hesabınıza giriş yapabilirsiniz. Güvenlik önlemi olarak ******.com’a giriş şifrenizi belirli aralıklarla değiştirmenizi tavsiye ediyoruz.” denildiği, hemen ardından gelen ikinci bir e-posta ile ise “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği,
İlgili kişi tarafından ******.com sitesine herhangi bir üyeliğin asla gerçekleştirilmediği, bu çerçevede konuya ilişkin veri sorumlusuna başvurarak şahsına ait herhangi bir bilginin işlenmiş olması halinde, bunların derhal yok edilmesi talebinde bulunduğu ayrıca veri sorumlusunun sisteminde kullanıcılar tarafından girilerek beyan edilen e-posta adreslerinin doğruluğunu herhangi bir surette kontrol edilip edilmediğine yönelik sorularını yönelttiği,
Veri sorumlusunun ise “İletmiş olduğunuz talebinize istinaden E-posta adresiniz kayıtlı olduğu üyelikten kaldırılmıştır.” şeklinde cevap verdiği,
Somut olayda 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olması olduğu, üçüncü bir şahıs ilgili kişiye ait e-postayı sisteme üyelikte kullanmak istediğinde veri sorumlusunun bunu doğrudan geçerli ve doğru kabul ederek ilgili kişinin e-posta adresine e-postalar göndermeye başlamakla hata yaptığı

beyan edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde veri sorumlusu yasal bahis platformunu işleten şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle;

Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu,
Şirketin yürüttüğü faaliyet kapsamında, kişisel verilerin korunmasına ilişkin mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu, bu yükümlülüklerden ilkinin 18 yaşından küçük kimselerin şirket tarafından bayiliği yürütülen oyunları oynamalarının engellenmesi olduğu, ikinci yükümlülüğün ise suç gelirlerinin aklanmasına dair mevzuata uyum göstermek olduğu, bu çerçevede şirketin kendi nezdinde yapılan her türlü işlemden önce işlemi yapanların kimliklerini tespit etme ve gerekli diğer tedbirleri alma yükümlülüğünün bulunduğu,
İlgili mevzuat kapsamında her bir üyelik başvurusunda şirket tarafından müşterinin (i) adı-soyadı, (ii) uyruğu ve (iii) T.C. kimlik numarası veya yabancı kimlik numarası bilgilerinin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanından teyit edildiği,
Nisan 2022 içerisinde ilgili kişinin şikâyetine konu edilen e-posta adresi kullanılarak şirketin platformu üzerinden ******** numaralı üyeliğin oluşturulduğu,
Söz konusu üyelik oluşturulurken cep telefonu numarasının doğrulandığı, kimlik bilgilerinin ise MERNİS sistemi üzerinden doğrulandığı, buna karşın e-posta adresinin kayıt aşamasında doğrulanmadığı,
Sonrasında şikâyet sahibi ilgili kişi tarafından şirkete e-posta vasıtasıyla ulaşıldığı, söz konusu e-postada ilgili kişinin şirketin platformunda hesap açmadığını bildirdiği ve e-posta adresine ileti gönderilmemesini talep ettiği, ilgili kişiden gelen bildirimin derhal işleme alındığı ve ilgili kişinin e-posta adresinin şirketin sistemlerinden kaldırıldığı,
Akabinde ilgili kişiyle e-postasında paylaştığı telefon numarası üzerinden iletişime geçilerek konu hakkında bilgi verildiği, ayrıca ilgili kişinin talebi üzerine aynı bilgilerin yazılı olarak da ilgili kişiye gönderildiği,
İlgili kişi tarafından Nisan 2022’de e-posta üzerinden şirkete yapılan talepte ilgili kişinin kimliğinin doğrulanmasını sağlayacak veri bulunmadığından tabii olarak taleplerinin tamamı hakkında ilgili kişiye bilgi verilemediği, bununla birlikte şirketin tabi olduğu mevzuat gereğince uyguladığı risk temelli veri politikasına uygun olarak aynı gün içerisinde e-posta adresinin şirketin veri tabanından silindiği,
Dolayısıyla ilgili kişi her ne kadar şirkete başvururken kendi kimliğinin tanımlanmasına imkân verecek bilgi paylaşmamışsa da yapmış olduğu başvuruda yer alan talebin tamamen karşılandığı ve 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi gereği yanlış işlendiği iddia edilen verinin aynı gün içerisinde Şirket tarafından silindiği,
İlgili kişi tarafından -karşılanmış olan talebine ilişkin olarak Kanun’un 14’üncü maddesinde yer alan koşullar mevcut olmamasına rağmen- Kurula şikâyette bulunulduğu,
Öncelikle ilgili kişinin veri sorumlusu sıfatıyla şirkete Nisan 2022 içerisinde göndermiş olduğu e-postada yer alan sorular kapsamındaki bilgilerin -ilgili kişi tarafından şirkete kimlik doğrulanmasına imkân verecek bir başvuru yapılmadığından- veri ihlâl riski nedeniyle paylaşılmadığı, bununla birlikte ilgili kişinin aslî talebi olan e-posta adresine bir daha gönderim yapılmaması talebinin şirketin veri yönetim politikası ile uyumlu olması nedeniyle derhal işleme alındığı ve ilgili kişinin talebinin aynı gün yerine getirildiği,
İlgili kişi tarafından şirketin üye kaydı esnasında e-posta adresi verisini işlerken herhangi bir kontrol mekanizması işletmediğinin iddia edildiği, ayrıca e-posta adresinin bir iletişim verisi olduğunun ve kontrolsüzce kullanılmaya başlanmasının düşünülemeyeceğinin ifade edildiği,
Öncelikle şirketin yürüttüğü faaliyetin ruhsata tabi bir faaliyet olduğunu, pek çok idari organın gözetim ve denetimi altında yürütüldüğünü ve özellikle de müşterinin kimlik doğrulaması ile ilgili olarak şirketin internet üzerinden servis sunan diğer veri sorumlularından ayrıştığını belirtmek istedikleri,
Şirketin platformuna üye olabilmek için ilgili kişilerin ad soyad, doğum tarihi ve TC kimlik numarası verilerini doğru girmelerinin ve bu verilerin MERNİS üzerinden teyit edilmesinin zorunlu olduğu, dolayısıyla şirketin işlediği asgari sayıdaki veri içerisinde yer alan iletişim verilerinin kontrolsüzce işlenmediği, esasen pek çok çevrimiçi hizmet uygulaması üyeliğinin ötesinde bir kontrolden sonra toplandığı,
Şirketin risk temelli veri güvenliği yaklaşımı uyarınca, üyelerin ana iletişim kanalı olarak cep telefonu numarasının kabul edildiği, bu nedenle de üyelik aşamasında öncelikle cep telefonu numarası verisinin doğrulamasının yapıldığı, sistemin ayrıca üyelik başvurusunda kullanılan cep telefonu ve/veya elektronik posta adresinin başka bir üyelikte kullanılıp kullanılmadığını da otomatik olarak kontrol ettiği,
Şirket veya herhangi bir yetkili sanal ortam bayi sistemindeki üyenin MERNİS üzerinden doğrulanan TC kimlik numarası ile uyuşmayan bir banka hesabından para yüklemesi veya para çekimi işlemi yapılamayacağından şirket bakımından teyidi ve korunması öncelikli olan verilerin ad-soyad, doğum tarihi ve TC kimlik numarası verileri olduğu, iletişim verilerinin ikincil önemi haiz olduğu,
Öncelikle cep telefonu verisinin doğrulanmasının sebebinin ise şirket tarafından herhangi bir problem halinde müşteri ile ilk temas noktasının müşteri iletişim stratejisi gereği telefon aramaları olduğu, e-posta verisinin ikincil nitelikte olduğu,
Şikâyete konu olayda da cep telefonu numarasının doğrulandığı ama e-posta adresinin doğrulanmadığı, e-posta adresinin doğrulanmaması halinde ilgili kişiye şirket tarafından yalnızca “Hoşgeldiniz” bilgilendirmesinin gönderildiği ve sistem üzerindeki panelde kişinin e-posta adresinin “Doğrulama Bekleniyor” aşamasında kaldığı, buna ilave olarak e-posta doğrulaması yapılmamış bir hesaptan şirketin platformuna her giriş yapıldığında ilgili kişiye e-posta doğrulamasına ilişkin uyarı penceresinin gösterildiği,
E-posta doğrulaması yapılıp yapılmadığından bağımsız olarak tüm üyelere ilk etapta yalnızca iki adet e-postanın gidebildiği, nitekim ilgili kişinin başvurusunda da bu iki e-postaya yer verildiği ve başkaca bir e-postanın sunulmadığı, bu nedenle kontrolsüzce e-posta ve hatta e-postalar gönderildiği iddiasının soyut ve dayanaktan yoksun olduğu,
Şirket sistemi tarafından gönderilen e-postaların ilkinin “Hoşgeldiniz” bilgilendirmesi olduğu ve bu e-postanın üyeliğin başlatıldığına yönelik bilgilendirme içerdiği, “Hoşgeldiniz” bilgilendirmesinin içeriğinde yalnızca üyenin adı ve soyadı ile üyelik numarasının yer aldığı,
Gönderimin amacının üyeliğin oluşturulduğuna dair bilgi vermek ve ilgili kişinin şirket hesabına nasıl giriş yapabileceğini açıklamak olduğu, ikinci olarak ise eğer üyelik başvurusu sırasında ilgili kişi ticari elektronik ileti gönderilmesine onay vermiş ise Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in 7’nci maddesinin (3) numaralı fıkrası uyarınca hukuki yükümlülüğün yerine getirilmesi adına ilgili kişiye ticari elektronik ileti onayının alındığı bilgisinin verildiği,
Mezkûr madde uyarınca onayın elektronik ortamda alınması durumunda onayın alındığı bilgisinin -reddetme imkânı da tanınmak suretiyle- alıcının elektronik iletişim adresine 24 saat içinde iletilmesinin gerektiği, bu hükmün amacının esasen sehven bildirilen iletişim adreslerine ret imkânı sunmak olduğu,
İkinci e-postanın bu kapsamda üyelik oluşturma sırasında ticari elektronik ileti gönderimine elektronik ortamda onay verilmiş olması sebebi ile iletildiği, nitekim gönderilen e-postada hatalı kayıt ihtimâline binaen çıkma hakkının tanındığı, bununla birlikte ticari elektronik iletinin alındığına ilişkin e-postada herhangi bir kişisel veriye yer verilmediği,
Tekrar özetlemek gerekirse; şirketin platformuna üyelik başvurusu sırasında e-posta adresi verisi işlenirken öncelikle ilgili verinin şirket veri tabanında mevcut bir başka üye ile ilişkili olup olmadığının kontrol edildiği, eğer veri başka bir üyelik hesabı ile ilişkili değilse doğrulama zorunlu tutulmadan üyelik oluşturulduğu ve üyeye yalnızca yukarıda belirtilen iki bilgilendirme e-postasının iletilebildiği, üye ticari elektronik ileti onayı vermediyse kendisine yalnızca “Hoşgeldiniz” bildiriminin yapıldığı,
E-posta doğrulama işlemlerinin ise üyelik panelinde ilgili alandan doğrulama talebi yapıldığında e-posta adresine yönlendirilen iletideli adımlar izlenerek yapılabildiği, bu doğrulamanın üyenin bilgilendirme e-postalarını alabilmesinin ön şartı niteliğinde olduğu, dolayısıyla ilgili kişinin şikâyetinde iddia edildiği üzere şirket tarafından kontrolsüzce veri işlenmediği,
Şirketin sistemi üzerinde üyelik esnasında verilen e-posta adresi için üyenin doğrulamaya zorlanmamasının başlıca nedeninin hesaba MERNİS sistemi ile uyuşacak şekilde para transferi yapılmadığı müddetçe salt şirket platformu üyeliğinin hüküm ifade etmemesi olduğu, daha açık bir ifadeyle herhangi bir üyenin şirketin platformu üzerinde işlem yaparak oyun oynayabilmesi için öncelikle platformdaki hesabına para transferi yapmasının gerektiği, bu aşamada para aktarımının üye tarafından yapıldığına MERNİS kontrolü neticesinde emin olunduğu,
Yapılan işin doğası ve şirketin risk politikası gereğince para çekme veya yatırma işlemlerinde üyeye şirket uygulamaları haricinde iletişim kanallarından bilgilendirme yapılmadığı, para yatırma veya çekme gibi işlemlerde hiçbir şekilde şirket tarafından e-posta gönderilmediği ve yalnızca kuponlara isabet eden ikramiyeyle ilgili bilgilendirmeler ile oyunlara dair çeşitli bilgilerin e-posta adresinin doğrulanmış olması halinde yapıldığı, bu bilgilendirme tercihlerinin de üyelik paneli üzerindeki ayarlar sekmesinden kolaylıkla güncellenebildiği,
Gönderilen “Hoşgeldiniz” e-postasının üyelik oluşturma sırasında sehven yanlış girilen bir e-postaya iletilmesi halinde de iletiyi alan kişinin bu hatayı düzeltme imkânının bulunduğu, şöyle ki gönderilen e-posta içerisinde müşteri hizmetleri numarasının yer aldığı ve bu numara üzerinden müşteri hizmetlerinin her türlü soru, öneri ve şikâyet için 7 gün 24 saat hizmet vermekte olduğunun belirtildiği, nitekim şikâyet konusu olayda da ilgili kişinin şirkete e-posta vasıtası ile ulaşarak kendisinin şirketin platformu üzerinden hesap açmadığı bilgisini ilettiği ve e-posta adresine ileti gönderilmemesini talep ettiği,
Şirket tarafından ilgili kişiden gelen bildirimin derhal işleme alındığı ve aynı gün ilgili kişinin e-posta adresinin şirket sistemlerinden kaldırıldığı, öte yandan yanlış e-posta adresi ile kaydolan üye bakımından ise durumun üyelik e-postasının gelmemesi ile fark edilebileceği,
Huzurdaki incelemeye konu edilen şikâyeti kişisel verilerin korunması hukukuna hâkim ilkeler ışığında da ele almak istedikleri, bugün için kişisel verilerin korunması hukukunda veri sorumluları bakımından hâkim ilkenin “hesap verebilirlik” olduğunun kabul edildiği,
Hesap verebilir olmanın bir diğer anlamının da veri sorumlularına proaktif bir özen yükümlülüğü yüklenmesi olduğu, Kurulun 2020/966 sayılı İlke Kararında da bu özen yükümlülüğünün özellikle vurgulandığı, burada veri sorumlusunun özen yükümlülüğünün sınırını çizerken veya 6698 sayılı Kanun’da geçen “gerekli her türlü teknik ve idari tedbir”, “makul önlemler” gibi ifadelerde yer alan sınırlayıcı gerekli veya makul gibi ifadelerin yorumlanmasında hesap verebilirlik ilkesinin özellikle dikkate alınmasının gerektiği,
Kanun koyucunun veri sorumluları için getirdiği yükümlülüklerde “gerekli”, “makul” gibi sınırlamalar koyarken hesap verilebilirliği veri sorumlusunun faaliyetine bağlı olarak daralıp genişleyebilecek şekilde ölçülü olarak kurgulamayı amaçladığı, dolayısıyla veri sorumlusu tarafından alınacak önlemler veya uygulanacak teknik veya idari tedbirlerin veri sorumlusunun işlediği verilerle, tabi olduğu mevzuatla, iştigal konusuyla ve verilerin tabi olduğu riskle yakın ilgisinin bulunduğu,
Somut incelemede şirketin suç gelirlerinin aklanmasına ilişkin mevzuat ve şans oyunları mevzuatı gereği sıkı bir kimlik kontrolü yükümlülüğü altında olduğunun dikkate alınması gerektiği, bu yükümlülükleri kapsamında şirkete MERNİS üzerinden gerçekleşen kimlik kontrolü olmaksızın üyeliğin mümkün olmadığı, ayrıca şirketin iştigal sahasının şans oyunları olması nedeniyle işlenen verinin mahremiyeti dikkate alınarak şirket politikası olarak e-posta veya SMS vasıtası ile üyelerle minimum iletişimde bulunulduğu, bu çerçevede şirket bakımından gerekli idari ve teknik tedbirler ile makul önlemlerin sınırının özellikle e-posta adresi verisi gibi asgari düzeyde işlenen veriler bakımından daraldığı,
Şirket tarafından her türlü kişisel verinin işlenmesinde genel ilkelere uyulmasında azami özen gösterildiği, bu kapsamda geliştirme ve iyileştirme çalışmalarında kimlik verilerine odaklanılmış olmakla birlikte iletişim verilerine ilişkin doğrulama süreçlerinin geliştirilmesine de devam edildiği, bununla birlikte mevcut durumda doğrulanmamış iletişim bilgilerine kişisel veri içeren bilgilendirmelerin yapılmaması için gerekli tedbirlerin alındığı,
Kurulun 2020/966 sayılı İlke Kararına değinilecek olursa; söz konusu kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olduğunun anlaşıldığı, şirket tarafından yapılan iletişimde bu ve benzeri kişisel verilerin üyelere gönderilmediğinin detayıyla izah edildiği, dolayısıyla Kurulun 2020/966 sayılı İlke Kararı ile şikâyete konu olay arasında doğrudan bağ kurulmasının da hukuken mümkün olmadığı,
Yapılan inceleme kapsamında tartışılabilecek bir diğer hususun da şirketin gönderdiği “Hoşgeldiniz” e-postasında kişisel veri olup olmadığı konusu olduğu, 6698 sayılı Kanun’un 3’üncü maddesinde kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlandığı, bu tanım doğrultusunda öne çıkan hususun verinin bir kişiyi belirli ya da belirlenebilir kılması olduğu, veri kendi başına ilgili kişiyi tespit etmeye elverişli değilse ancak başka verilerle birleştirildiği takdirde kişi belirlenebiliyorsa belirlilikten değil belirlenebilirlikten bahis açıldığı ancak bu defa da kişinin elinde olmayan hangi veriler esas alınarak belirlenebilirliğin tartışılması gerektiği sorununun ortaya çıktığı,
Şirketin gönderdiği “Hoşgeldiniz” e-postasında yer alan isim soy isim verisi ile üye numarası verisinin yanlış bir e-postaya gönderilmesi halinde ortada “belirlenebilir” bir kişisel veri olup olmadığının tartışılmasının gerekeceği, ad soyad verisinin pek çok halde herhangi bir tartışmaya mahal bırakmaksızın ilgili kişiyi doğrudan belirlenebilir kıldığı, ancak yine de bu savın her durumda geçerli olmadığı, pek çok kişinin aynı isim ve soy ismi taşıyabildiği, bu halde üçüncü kişi bakımından ad soyad verisinin tek başına ilgili kişiyi belirleyebilecek nitelikte olmayabileceği, öte yandan üyelik numarasının ise üçüncü kişi bakımından ilgili kişiyi belirleyebilecek nitelikte olmadığı, zira bu numaranın üyeye özel, üye tarafından değiştirilemez harf veya rakamlardan oluşan dizin olarak yalnızca şirket sistemi için anlamlı olduğu, ad soyad verisinin ise yalnızca şirketin iç sistemi için anlam ifade eden üye numarası verisi ile birlikte “belirlenebilir” olduğunun söylenemeyeceği kanaatinde oldukları, dolayısıyla gönderilen “Hoşgeldiniz” e-postasında her ne kadar isim soy isim verisi yer alsa da bu verinin belirlenebilir olmaması sebebiyle kişisel veri niteliğini haiz olmadığı,
Son olarak, 6698 sayılı Kanun’un en önemli ilkelerinden biri olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer yer alan “doğru ve gerektiğinde güncel olma” ilkesinin veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu,
Kurum tarafından hazırlanan Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberinde de belirtilmiş olduğu üzere bu yükümlülüğün tesisindeki en önemli hususun her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalların açık tutulması olduğu, nitekim şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının bulunduğu

ifade edilmiştir.

Taraflarca dosyaya sunulan tüm bilgi ve belgeler dâhilinde konuya ilişkin yürütülen inceleme neticesinde, Kurulun 01/09/2022 tarihli ve 2022/853 sayılı kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,
İlgili kişinin şikâyeti kapsamında savunması istenen şirket tarafından “Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu regüle bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu, yürüttüğü regüle faaliyet kapsamında kişisel verilerin korunmasına dair mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu ve sistemlerinin anılan yükümlülüklerle uyumlu olarak tasarlandığı”nın vurgulandığı, buna karşın şirketin faaliyet alanına ilişkin özel mevzuat hükümleri uyarınca çeşitli yükümlülüklerinin bulunmasının 6698 sayılı Kanun’dan kaynaklanan yükümlülüklerden muaf olmasını/tutulmasını sağlamayacağı,
Bir gerçek kişinin kimliğini belirli veya belirlenebilir kılacak mahiyette olup da şirketin elektronik sistemlerinde kaydetme, depolama ve sair fiillere konu edilen isim-soy isim, e-posta adresi, telefon numarası, üyelik numarası gibi bilgilerin “kişisel veri” niteliğini haiz olduklarının açık olduğu, zira söz konusu bilgilerin şirket nezdinde üyelik hesabı bulunan herhangi bir kişinin kimliğini -Şirket veya herhangi bir diğer kişi tarafından kullanılabilecek makul tüm araçlar dikkate alındığında- şirket veya başka herhangi bir kişi için belirlenebilir kılmaya yeterli olduklarının kabul edilmesinin gerektiği, böyle bir kabulün de gerek 6698 sayılı Kanun’un 3’üncü maddesindeki “kişisel veri” tanımıyla gerek ülkemizin taraf olması vesilesiyle kişisel verilerin korunması mevzuatımızın bir parçası olan ve kamuoyunda “108 sayılı Sözleşme” olarak bilinen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin “Tanımlar” başlıklı 2’nci maddesindeki “Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi (ilgili kişi) hakkındaki tüm bilgileri ifade eder.” tanımıyla gerekse de Kurulun yerleşik uygulamalarıyla uyumlu olduğu, kaldı ki halen yürürlükte olmasa da 6698 sayılı Kanun’un yapım aşamasında örnek alınan düzenlemeler arasında bulunan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) adlı Avrupa Birliği düzenlemesinin başlangıç/giriş bölümünde yer alan ve “kişisel veri” kavramına dair de açıklamalar içeren (26) numaralı resitalde/gerekçede de aynı hususun teyit edildiği,
Her ne kadar şirket tarafından “ilgili kişiye gönderilen ‘Hoşgeldiniz’ mesajı içerisindeki verilerin somut olaydaki isim-soy isim bilgisinin yaygın olabileceğinden ve üyelik numarası bilgisinin de sadece şirket tarafından bilindiğinden bahisle kişisel veri niteliği taşımadığı” yönünde bir savunma yapılmışsa da söz konusu mesaj içerisinde beraber yer aldıkları görülen “isim-soy isim” ve “üyelik numarası” bilgilerinin somut olayda şirketin elektronik sistemine üye olan şahsı en azından şirket nezdinde belirlenebilir kılmaları dolayısıyla kişisel veri mahiyetinde oldukları, bununla birlikte belirli bir kişiye ait gibi görünen bilgilerin aslında yanlış olmaları (örneğin farklı bir kişiye ait olmaları) durumunda bu bilgilerin “kişisel veri” olma nitelikleri ortadan kalkmadığı için ilgili kişiye ait olduğu ama şirketin elektronik sistemine üyelik sahibi şahıs tarafından beyan edildiği anlaşılan e-posta adresi bilgisinin ilgili kişinin kişisel verisi olduğunun da unutulmaması gerektiği,
Somut olayda kişisel verilerin şirketin elektronik sistemlerinde kaydetme, depolama, paylaşma, sınıflandırma, aktarma ve sair fiillere konu edilmesinin birer “kişisel veri işleme faaliyeti” olarak adlandırılması gerektiği, bu durumda hem anılan kişisel verileri işleme faaliyetlerinin amaçlarını ve vasıtalarını belirleme gücünü haiz olduğu hem de veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu anlaşılan şirketin “veri sorumlusu” sıfatını taşıyacağı konusunda herhangi bir şüphenin bulunmadığı,
Somut olayda veri sorumlusu tarafından ilgili kişinin e-posta adresine bilgisi ve rızası dışında iki adet e-postanın gönderildiğinin sabit olduğu, söz konusu gönderim kapsamında e-posta adresinin işlenmesinden ibaret olan kişisel veri işleme faaliyetlerinin öncelikle 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen hukuki şartlardan en az birine dayanmasının gerektiği, buna rağmen ilgili kişinin e-posta adresi kişisel verisinin üçüncü bir şahıs konumunda olan üyelik sahibi kişi tarafından veri sorumlusunun sistemine kaydedildiği dikkate alındığında veri sorumlusu tarafından ilgili kişi hakkında yürütülen mezkûr kişisel veri işleme faaliyetleri sırasında 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadığı, ayrıca somut olayda veri sorumlusunun elektronik sisteminde kaydı bulunan üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin ilgili kişiyle paylaşılmasından ibaret olan kişisel veri işleme faaliyeti açısından da anılan şartlardan herhangi birine dayanılmadığı,
Şikâyete konu olayda asıl üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadan ilgili kişi ile paylaşılmasının aynı zamanda bir “kişisel veri ihlali” niteliği taşıdığı göz önünde bulundurulduğunda; veri sorumlusu tarafından 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamındaki “ilgili kişiye ve Kurula bildirim yükümlülüğü”ne de uyulmadığı sonucuna ulaşıldığı,
İlgili kişinin şikâyetinde yer verdiği iddialara cevaben, veri sorumlusunca “Şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının mevcut olmasının şirketin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki ‘Doğru ve gerektiğinde güncel olma’ genel ilkesine uygun hareket ettiğini gösterdiği” yönünde bir savunma yapılmış olmasına karşılık; 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinin veri sorumlularının uyması gereken bir zorunluluğa işaret ettiği ve bu konuda gerekli tedbirleri almamış ya da alamamış olan veri sorumlularının “mezkûr zorunluluğa uyumlarını ilgili kişilerin uhdesine/keyfiyetine bırakmış oldukları” veya “ilgili kişilere iletişim bilgisi görüntüleme, değiştirme, düzeltme ve güncelleme imkânı verilmesinin mezkûr zorunluluklarına uyduklarını gösterdiği” yönünde savunmalar yaparak sorumluluktan kurtulmalarının bahsi geçen düzenlemenin sözüne ve ruhuna aykırı olacağı,
Zaten Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararındaki ifadelerin de veri sorumlularının 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki zorunluluğa uymak için aktif bir şekilde adımlar atması gerektiğine işaret ettiği, bu kapsamda kullanıma sunduğu sistem özelinde 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinden kaynaklanan zorunluluğa uymak konusunda aktif adımlar atmadığı anlaşılan veri sorumlusunun somut olaydaki kişisel veri işleme faaliyetlerinin mezkûr genel ilkeye aykırı olduklarının açık olduğu,
Veri sorumlusunun yukarıdaki bölümlerde “Şirketin kişisel veri işleme faaliyetleri sırasında ‘hesap verebilirlik’ yaklaşımını benimsediği, ilgili kişinin şikâyetinde atıf yaptığı Kurulun 2020/966 sayılı İlke Kararının -kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olması nedeniyle- somut olayda uygulama alanı bulmasının mümkün olmadığı” olarak özetlenen savunmasının da Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararında örnek kabilinden sayılan bilgi ve/veya belgelerin sınırlı sayıda olmaması, ilgili kişilerin hukuka aykırı kişisel veri işleme faaliyetleri sonucunda görebilecekleri zararların veri sorumlusunun öngörüsünün aksine sadece maddi değil manevi nitelik de taşıyabilecek olması, “6698 sayılı Kanun’un 15’inci maddesinin (6) numaralı fıkrasına dayanan ilke kararlarının şikâyet üzerine veya resen yapılan inceleme sonucunda ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul tarafından alınıp yayımlanan ‘yol gösterici’ mahiyette kararlar olması ve inceleme konusu bir şikâyet kapsamında 6698 sayılı Kanun’un 4’üncü maddesinin uygulama alanı bulabilmesi için Kurulun almış olduğu bir ilke kararına dayanmak zorunda olmaması nedenleriyle geçerli bir savunma olmadığı,
Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları içerisinde “Şirket tarafından işlenen kişisel veriler kapsamında iletişim verilerinin şirketin risk politikası gereğince MERNİS üzerinden doğrulanan bazı kimlik verilerine kıyasla ikincil öneme sahip olduğu, buna rağmen şirketin üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönündeki ifadeler ele alınacak olursa; 6698 sayılı Kanun’da kişisel verilerin veri sorumluları için taşıdıkları önem dereceleri gözetilerek sınıflandırılması gerektiğini ifade eden bir düzenlemenin bulunmadığı, dolayısıyla veri sorumlusunun “kendisi için daha çok önem arz eden verileri daha çok denetlediği ama iletişim verileri bakımından böyle bir denetimin o kadar da gerekli olmadığı” anlamına gelebilecek savunmalarının da kabul edilebilir nitelikte olmadığı, ayrıca günümüzde “ilgili kişi” sıfatını haiz kişilerin iletişim verileri kullanılarak yürütülen ve “oltalama” gibi yöntemlere dayanan çeşitli illegal faaliyetler sonucunda bazı mağduriyetlerin yaşanabildiği göz önüne alındığında iletişim verilerinin güvenliklerinin sağlanmasının önemsiz olduğunun söylenemeyeceği, öte yandan bir üyesi tarafından yanlış ve/veya hatalı bildirilmesi nedeniyle “üçüncü kişi” konumundaki ilgili kişiye e-postalar gönderdiği sabit olan veri sorumlusu için “üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönünde bir niteleme yapabilmenin de mümkün olmadığı,
Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları kapsamında “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki beyanları karşısında; “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı” gibi bir savunmanın veri sorumlusu tarafından üyelerinin e-posta adresleri hakkında yürütülen kişisel veri işleme faaliyetleri bakımından kişisel verilerin korunması alanına hâkim olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkesi ile somutlaştırılan “veri minimizasyonu ilkesi”ne de uyulmadığını gösterdiği, zira ana iletişim kanalı olarak kullanılmayan ve aslında hiç işlenmemiş olsa da veri sorumlusunun üyelerine sunduğu hizmetleri aksatmayacağı anlaşılan bir iletişim verisinin veri sorumlusu tarafından işlenmesinin “veri minimizasyonu ilkesi”ne aykırı olacağı,
Veri sorumlusunun “üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunması karşısında ayrıca; ilgili kişilere hukuka aykırı kişisel veri işleme faaliyeti teşkil edecek şekilde tek bir e-posta gönderilmesinin yeterli olduğu bu anlamda e-posta sayısının hukuka aykırılığın mevcudiyeti açısından herhangi bir fark yaratmayacağı, ilaveten veri sorumlusunun mevcut sisteminin veri sorumlusuyla herhangi bir ilişkisi bulunmayan ilgili kişileri veri sorumlusundan bildirim e-postaları almamak için aktif eylemlerde bulunmaya zorluyor olması sebebiyle 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma” genel ilkesine uygun olmadığının da kabul edilmesi gerektiği, bu durumda veri sorumlusunun “hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunmasının da geçerli olmadığının açık olduğu,
Veri sorumlusunca ilgili kişinin veri sorumlusuna kimliğinin doğrulanmasına imkân verecek bir başvuru yapmadığından bahisle “ilgili kişinin şikâyetinin 6698 sayılı Kanun’un 14’üncü maddesinde düzenlenen usule aykırı olduğu” yönündeki savunması karşısında; taraflarca dosyaya sunulan bilgi ve belgelerden ilgili kişinin veri sorumlusuna e-posta üzerinden yaptığı başvurunun yukarıdaki bölümde paylaşılan mevzuat hükümlerine uygun bir başvuru olmadığının anlaşıldığı, bununla birlikte söz konusu e-posta başvurusuna cevaben veri sorumlusu tarafından gönderilecek bir e-posta marifetiyle “başvurunun işleme alınabilmesi için mevzuata uygun şekilde yapılması gerektiği” yönünde ilgili kişinin bilgilendirilmesi ve yönlendirilmesi imkânı varken ilgili kişinin başvurusunun veri sorumlusunca sanki hukuka uygun bir başvuruymuş gibi ele alındığı (konu hakkında ilgili kişinin e-postasında paylaşmış olduğu cep telefonu numarası üzerinden ilgili kişiye bilgi verildiği, ayrıca talep edilen hususlardan biri hakkında ilgili kişinin e-postasına yazılı olarak cevap da iletildiği) dikkate alındığında konuya ilişkin Kurulca bir inceleme başlatıldıktan sonra “ilgili kişi tarafından veri sorumlusuna yapılan başvurunun hukuka aykırı olduğu” itirazının ileri sürülmesinin 4721 sayılı Türk Medeni Kanunu’nun 2’nci maddesinde düzenlenen ve 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesi çerçevesinde de her türlü veri işleme faaliyetinde esas alınması gerektiği şeklinde ifadesini bulan “dürüstlük kurallarına uygun hareket etme” yükümlülüğüne aykırı olacağı, dolayısıyla ilgili kişinin şikâyetine istinaden veri sorumlusu hakkında başlatılan incelemede usule dayanan herhangi bir hukuka aykırılığın bulunmadığı

değerlendirmelerinden hareketle;

Veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış/tasarlatmamış olmasından dolayı hem ilgili kişinin kişisel verisi olan e-posta adresini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın işlediği hem de bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından; veri sorumlusunun anılan fiillerinin 6698 sayılı Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun şikâyete esas elektronik sisteminin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasındaki genel ilkelere aykırılık teşkil ettiği değerlendirildiğinden; doğrulanmamış iletişim kanalına kişisel veri içerikli herhangi bir gönderi yapılmaması bu kapsamda söz konusu sistemin 6698 sayılı Kanun’a uyumlu hale getirilmesini teminen Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı da dikkate alınarak gerekli çalışmaların yapılması ve sonuçtan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına,
Şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bildirim yapılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

04.Ağustos.2022: “İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/798
Konu Özeti	:	İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkında muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki işyeri ile paylaşılması

Kuruma intikal eden şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği, iş yeri tarafından ihtarnameye verilen yanıtta ilgili kişinin başka bir şirket ile iş görüşmesi yaptığı, ayrıca ilgili kişinin halihazırdaki iş yeri hakkında bir takım söylemlerde bulunduğu, bu durumun iş görüşmesi yaptığı veri sorumlusu şirket tarafından kendilerine iletildiği bilgilerine yer verildiği, dolayısıyla ihtarnameye verilen yanıtta ilgili kişinin iddialarının tevsik edildiği, akabinde ilgili kişi tarafından kişisel verilerinin işlenip işlenmediği, kişisel verilerinin kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin silinmesini talep etmek suretiyle iş görüşmesi yapan veri sorumlusuna başvuruda bulunulduğu ancak yasal süresi içerisinde yanıt verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişinin başvurusuna cevap verilmediği iddiası ile ilgili olarak, ilgili kişinin vekili aracılığıyla tarafları aleyhine Cumhuriyet Başsavcılığına "Hukuka Aykırı olarak Kişisel Verileri Kaydetmek, Özel Hayatın Gizliliğinin İhlal Etmek, Hukuka Aykırı Verileri Ele Geçirmek veya Yaymak” suçlamalarıyla yaptığı şikayet üzerine Başsavcılık Makamı tarafından soruşturma başlatıldığı, soruşturma dosyasının hukuken sonuca bağlanılmasının beklenilmesi nedeniyle ilgili kişinin başvurularına cevap verilmediği,
Cumhuriyet Başsavcılığı tarafından soruşturmaya konu olayla ilgili olarak "Kovuşturmaya Yer Olmadığına Dair Karar” verildiği,
Söz konusu Kararda “… paylaşılan bilginin müştekinin özel yaşam alanına ilişkin bir bilgi niteliğinde bulunmadığı gibi müştekinin sürekli denetim ve gözetim altına alınması sonucu elde edilmiş özel hayatın gizliliğini ihlale yol açan bir bilgi niteliğinde de olmadığı, TCK.nun 135 ve 136. maddelerinde düzenlenen 'Kişisel Verilerin Kaydedilmesi' ve 'Verileri hukuka aykırı olarak verme veya ele geçirme 'suçlarının konusunu oluşturan Kişisel Veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin ve onun niteliklerini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği, kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği fakat şüphelinin eyleminin ancak özel hukuk yaptırımlarını gerektirebileceği, söz konusu kişilik hakkının ihlali, özel hayatın gizliliğini ihlal suçunu oluşturmayacağı, bu haliyle atılı suçların unsurlarının oluşmayacağı anlaşılmakla,… 1-Soruşturmaya konu olayla ilgili olarak şüpheli hakkında kamu adına kovuşturma yapılmasına yer olmadığı, …” hususlarına yer verildiği
İşlenen verilerin ilgilinin kâğıt ortamında muhafaza edilen özgeçmişinde yer alan bilgiler olduğu, alınan CV ile dijital, mülakat esnasında başvuru formu üzerine bilgi işlemek suretiyle fiziksel ve kameralar vasıtasıyla da görsel veri toplamak suretiyle kişisel verilerin elde edildiği,
Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ve aynı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmü uyarınca kişisel verilerin işlendiği,
İnsan kaynakları süreçlerinin planlanması, çalışan ve stajyer adayı seçme ve yerleştirme süreçlerinin yürütülmesi, yeni eleman istihdam edilmesi, adayları inceleme ve istihdam edilecek yeni adayın tespit edilmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi ve doğru değerlendirilebilmesi amaçlarıyla kişisel verilerin işlendiği,
İlgili kişinin şirketlerince işlenen kişisel verilerinin herhangi bir üçüncü kişiye aktarılmadığı, bu iddia hakkında Başsavcılığın kararının da Kuruma iletildiği,

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/798 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün yer aldığı,
İlgili kişinin şikâyet dilekçeleri incelendiğinde; 21.06.2021 ve 11.11.2021 tarihli dilekçeler ile veri sorumlusuna başvuruda bulunulduğu ve söz konusu başvuruların 23.06.2021 ve 16.11.2021 tarihlerinde veri sorumlusuna teslim edildiğinin posta alındıları ile tevsik edildiği,
Veri sorumlusu tarafından Kuruma iletilen cevabi yazıda ilgili kişinin veri sorumlusunun yöneticisi aleyhine Cumhuriyet Başsavcılığına "Hukuka Aykırı olarak Kişisel Verileri Kaydetmek, Özel Hayatın Gizliliğinin İhlal Etmek, Hukuka Aykırı Veri Ele Geçirmek veya Yaymak" suçlamalarıyla yaptığı şikayet üzere başlatılan soruşturmanın akıbetinin beklendiği iddia edilmekle birlikte söz konusu soruşturmanın şirket çalışanı ile ilgili olduğunun anlaşıldığı, ayrıca konu hakkında soruşturma yürütülmesinin Kanun ve Tebliğ hükümlerinin uygulanmayacağı anlamına gelmediği, bu çerçevede, ilgili kişinin Tebliğ’e uygun olarak veri sorumlusuna yapılmış başvurularına yasal süresi içerisinde cevap verilmemesi sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında yer alan “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne aykırı davranıldığı,
Öte yandan Cumhuriyet Başsavcılığının “Kovuşturmaya Yer Olmadığına Dair Karar”ı incelendiğinde ilgili kişinin söz konusu soruşturmada müşteki sıfatı ile yer aldığı, suç tarihinin ise 05.02.2021 olduğunun anlaşıldığı, söz konusu Kararda “kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği fakat şüphelinin eyleminin ancak özel hukuk yaptırımlarını gerektirebileceği, söz konusu kişilik hakkının ihlalinin, özel hayatın gizliliğini ihlal suçunu oluşturmayacağı..” belirtilerek şüpheli hakkındaki şikâyetin Türk Ceza Kanunu kapsamında suç unsuru barındırmadığı yönünde karar tesis edildiğinin anlaşıldığı,
Şikâyete konu olay kapsamında, ilgili kişi tarafından şikâyet edilen tarafın veri sorumlusu sıfatı ile ilgili kişinin kişisel verilerini işlediği ve inceleme konusunun Kanun çerçevesinde değerlendirmeye tabi tutulacağı, bu kapsamda Cumhuriyet Başsavcılığı tarafından kovuşturmaya yer olmadığına dair verilen kararın Türk Ceza Kanunu çerçevesinde yapılan değerlendirme sonucu verildiği, verilen Kararın Kurum tarafından yürütülen inceleme kapsamında bir etkisi bulunmadığı ayrıca Kararda “kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği” yönünde değerlendirmede bulunulduğunun görüldüğü,
Bu çerçevede, ilgili kişi tarafından Kuruma iletilen şikâyet dilekçesinin ekleri incelendiğinde; mevcut işyeri tarafından ilgili kişiye iletilen cevabi ihtarnamede “…evden çalıştığınız bu süreçte sadakat yükümlülüğüne aykırı davrandığınız, başka şirketlerle iş görüşmeleri yaptığınız ve bu görüşmelerde müvekkilin sektör paydaşlarına karşı prestijini zarara uğrattığınız tespit edilmiştir. Halen müvekkil şirkette çalışmakta iken ….. tarihinde …. Şirket ofisinde yaptığınız iş görüşmesinde müvekkil şirket ile ilgili oldukça kötü söylemlerde bulunduğunuz … Şirket tarafından tarafımıza iletilmiştir…” ifadelerine yer verildiği,
Şikâyete konu somut olayda ilgili kişinin veri sorumlusu ile iş görüşmesi gerçekleştirdiği ve bu görüşmede halihazırda çalışmakta olduğu iş yeri hakkında kötü söylemlerde bulunduğu bilgisinin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına karşılık veri sorumlusu tarafından bu hususa ilişkin olarak; ilgili kişinin şirketlerince işlenen kişisel verilerinin herhangi bir üçüncü kişiye aktarılmadığı belirtilmekle birlikte ilgili kişinin çalışmakta olduğu şirket tarafından ilgili kişiye iletilen ihtarnamede bu hususlara açık bir şekilde yer verildiği,
Veri sorumlusu tarafından ilgili kişinin mülakat esnasında başvuru formu üzerine bilgilerinin işlendiği ve özgeçmişinde yer alan bilgilerinin Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ve aynı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü uyarınca kişisel verilerin işlendiğinin belirtilmekle birlikte işverenlerin işçi ile akdedilecek iş sözleşmesi çerçevesinde adayın pozisyona uygunluğunu tespit etmek amacıyla işin gerektirdiği menfaatler kapsamında birtakım kişisel verileri işlemesinin mümkün olacağı, iş sözleşmesinin kuruluşu öncesinde işverenin yönetim hakkı kapsamında adayın uygunluğunu belirlemek amacıyla kişisel verileri işleme hakkı bulunduğu ancak söz konusu bilgilerin Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de uygun olarak işlenmesi gerektiği,
Bu çerçevede veri sorumlusu tarafından ilgili kişinin kendileri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok beyanda bulunduğu bilgisinin ilgili kişinin çalıştığı şirkete hukuka aykırı olarak aktarıldığı, bu aktarımın Kanun’un 8’inci maddesinde yer alan veri aktarımına yönelik şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,

değerlendirmelerinden hareketle;

İlgili kişinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılmış başvurularına veri sorumlusu tarafından yasal süresi içerisinde cevap verilmemesi sebebiyle Tebliğ hükümlerinin uygulanmasına azami dikkat ve özen gösterilmesi hususunda veri sorumlusunun uyarılmasına,
Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması faaliyetinin Kanun’un 8’nci maddesine uygun şekilde gerçekleştirilmediği değerlendirilmekte olup bu durumun Kanun’un 12’nci maddesinde yer verilen “veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil etmesi nedeniyle, veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

04.Ağustos.2022: “Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/790
Konu Özeti	:	Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması

Kuruma iletilen şikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" içerikli beyan üzerine hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı, ilgili kişinin üniversite hastanesinde çalışmakta olan doktora böyle bir beyanda bulunmadığı, üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesinde ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiği, belirtilen taleplerine ilişkin olarak başvurusuna üniversite tarafından cevap verilmediği ifade edilerek üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Kamu kurumunun istemi üzerine ilgili kişiye ait üniversite hastanesi kayıtlarında mevcut olan İstirahat Raporu, Anamnez Formları, Epikriz Raporları, Konsültasyon Formları, Hasta Medikal Klinik Seyir Bilgileri, Patoloji Raporu, Radyoloji Raporlarının, 1 (bir) adet CD içeriğinde görevli personele teslim edildiği,
İlgili kişinin manevi tazminat ödenmesi talebinin 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi kapsamında zımnen reddedildiği,
Kişisel verilerin Kanun’un "Kişisel Verilerin Aktarılması" başlıklı 8’inci maddesinin (2) numaralı fıkrasının (b) bendine dayalı olarak aktarıldığı,
İlgili kişinin kişisel verilerinin silinmesi için üniversiteye herhangi bir müracaatının bulunmadığı,
İlgili veriler, Doktor-Hasta görüşmeleri neticesinde Hastane Bilgi Yönetim Sistemine girildiği için verilerin silinemediği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/790 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
Veri sorumlusu tarafından kamu kurumuna teslim edilen istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporları ve 1 (bir) adet CD’de yer alan ilgili kişiye ilişkin sağlık verilerinin, Kanun’un 6’ncı maddesinin (1) numaralı fıkrasına göre özel nitelikli kişisel veri olduğu,
Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
Kamu kurumunun yazısında söz konusu verilerin talep edilmesinin sebebinin “yürütülmekte olan bir İdari Davaya esas teşkil etmek üzere” şeklinde belirtildiği, öte yandan ilgili kişinin şikayet dilekçesinde idare mahkemesi nezdinde devam eden dava dosyasında davacı tarafın söz konusu kamu kurumunda çalışan ilgili kişi, davalı tarafın ise kamu kurumu olduğunun beyan edildiği, veri sorumlusunun Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendine yönelik savunması dikkate alındığında ilgili kişi ile kamu kurumu arasında devam eden idari dava nedeniyle talep edilen özel nitelikli kişisel verilerin veri sorumlusu üniversite tarafından kamu kurumuna aktarılmasına ilişkin işleme faaliyetinde Kanun’un 6’ncı maddesinde yer alan şartların mevcut olmadığı,
Diğer taraftan, veri sorumlusu tarafından kamu kurumunun yazısında talep edilenden fazla bilgi ve belgenin tesliminin gerçekleştirildiğinin tespit edildiği, şöyle ki, kamu kurumunun yazısında ilgili kişinin belirtilen tarihlerde ameliyat işlemi geçirip geçirmediği, ameliyat geçirmedi ise rahatsızlığı ile ilgili hastanede tedavi ve tetkik işlemine tabi tutulup tutulmadığı, tedavi sürecinin ne kadar sürdüğü, tedavi sonrasında istirahat raporu verilmiş ise ne kadar süre verildiği ve hastane nezdinde resmi tatil günlerinde ne gibi durumlarda ameliyat işlemlerinin gerçekleştirildiğine dair ıslak imzalı olarak tanzim edilen evrakın talep edildiği, veri sorumlusu tarafından bu soruları aşacak nitelikte veri minimizasyonu ilkesine aykırı olarak, bu anlamda Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri gözetilmeyerek ilgili kişiye ait hastane kayıtlarında mevcut olan istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporlarının, 1 (bir) adet CD içeriğinde teslimi ile talep edilenden fazla özel nitelikli kişisel veri aktarımının gerçekleştirildiğinin anlaşıldığı,
İlgili kişinin şikayet dilekçesinde, doktorun teşhis koyma amaçlı olarak hastaya sorduğu sorular sonucu elde ettiği, hastanın mevcut ya da geçmiş hastalıkları hakkında kendisinden alınan bilgileri içeren hasta anamnez formunun hasta muayene bilgileri bölümüne doktor tarafından yanlış anlaşılarak "ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" şeklinde yazıldığı belirtilen ifadeyi içeren formun kamu kurumuna teslimiyle birlikte, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, yapılan soruşturma neticesinde ilgili kişi hakkında Cumhuriyet Başsavcılığının Kararı ile kovuşturmaya yer olmadığına dair karar verildiği,
İlgili kişi tarafından, “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi” talebine veri sorumlusu tarafından cevap verilmediği, öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, ilgili kişinin kendisi hakkında sehven oluşturulduğunu iddia ettiği sağlık verilerine ilişkin öncelikle İl Sağlık Müdürlüğüne başvurulması gerekliliğine ve bu başvuru sonrasında sehven oluşturulan sağlık verilerinin düzeltilmesi için gerçekleştirilecek işlemlere yönelik bir düzenlemenin bulunduğu dikkate alındığında ilgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin düzeltilmesi”ni, veri sorumlusunun bağlı bulunduğu il sağlık müdürlüğüne başvurmak suretiyle talep edebileceği,
Veri sorumlusu tarafından 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi uyarınca ilgili kişinin başvurusuna cevap verilmeyerek zımnen reddedildiğinin belirtildiği, ancak Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına göre, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği

değerlendirmelerinden hareketle;

Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen özel nitelikli kişisel verilerin aktarılmasına ilişkin Kanun’un 6’ncı maddesinde yer alan şartlar ya da Kanun’un 8’inci maddesinin (1) numaralı fıkrasında belirtildiği üzere ilgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarıldığı, öte yandan talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin Kanun’un 12’nci maddesinin (1) numaralı fıkrasına göre kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin” düzeltilmesini talep etme hakkı dikkate alındığında; Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer aldığı üzere “doğru ve gerektiğinde güncel olma” ilkesine uygun olarak Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli işlemlerin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Şikayete konu edilen verilerin aktarıldığı kamu kurumu nezdinde de bu verilerin imha edilmesinin sağlanması hususunda gerekli işlemlerin tesis edilmesine ve yapılan işlemin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin Kanun kapsamındaki taleplerini Kanun’a ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırması gerektiğinin veri sorumlusuna hatırlatılmasına,
İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi nedeniyle uğradığı zararlara ilişkin tazminat talepleri hakkında, genel hükümlere göre yargı mercilerine başvurabileceği konusunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

04.Ağustos.2022: “Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/787
Konu Özeti	:	Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı, takip kapsamında ödeme emri gönderildiği halde bugüne kadar borcun ödenmediğinin tespit edildiği ve yasal takibin durması için hemen ödeme yapılması gerektiği ifade edilerek ödeme ve iletişim için “…. Şirketi Hukuk Departmanını arayın” ifadesine yer verildiği, konu hakkında Cumhuriyet Başsavcılığına yapılan suç duyurularında kovuşturmaya yer olmadığına karar verildiği, ancak bu karardan sonraki bir tarihte de veri sorumlusu tarafından üç kez arandığı ve yapılan son aramada veri sorumlusu tarafından alışveriş yapan kişinin numarasının sorulduğu, ilgili kişinin bu kişinin numarasını bilmediğini ve kendisinin herhangi bir borcunun ya da kefilliğinin bulunmadığını belirttiği ancak veri sorumlusu tarafından borçlu borcunu bitirene kadar sürekli rahatsız edileceğinin söylendiği, en son arandığında numarasının sistemden silinmesi talebine olumsuz cevap verildiği, ayrıca veri sorumlusuna yapılan silme talebini içeren yazılı başvuruya cevap verilmediği ve aramalara devam edildiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin 2018 yılı içerisinde şirket ile tüketici finansman sözleşmesi akdettiği, tüketici finansman sözleşmelerinde "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun bulunduğu; müşterilerin bu şekilde muvafakat/rıza verdiği ve aynı zamanda sözleşmenin 13’üncü maddesinde de “izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu,
Şirketten alışveriş yapan üçüncü kişi olan müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını şirkete bildirdiği, borcun ödenmemesi sebebiyle söz konusu numara arandığında numaranın kullanıcısı ilgili kişinin üçüncü kişinin arkadaşı olduğunu beyan ettiği, bunun üzerine numara yanlış kaydettirilmişse arkadaşı olan ve ilgili kişinin numarasını sözleşmeye kaydettiren müşteriyle irtibata geçmesi gerektiğinin ve sadece bu müşterinin talebi olması halinde iletişim numarasının değiştirilebileceğinin ilgili kişiye birden çok kez söylendiği,
İlgili kişinin şirkete ulaşan yazılı bir başvurusu olmadığı için ilgili kişinin irtibat numarasının silinmediği, ancak Kurum tarafından gönderilen yazıdan sonra telefon numarasının hemen silindiği,
İlgili kişiyi arayan hatların şirket adına kayıtlı olduğu, bunlardan birinin adres araştırması yapan bir personel tarafından kullanıldığı bir diğerinin gecikmiş ödemeleri hatırlatmak amacıyla kullanıldığı,
İlgili kişinin kişisel verilerinin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, gecikmiş borç tahsili yapabilmesi çerçevesinde bir hakkın tesisi, kullanılması veya korunması, veri sorumlusunun meşru menfaatlerinin korunması ile bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi şartlarına dayanılarak işlendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/787 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesine göre herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğu,
Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesi uyarınca; veri sorumlusunun, ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırma, bu kapsamda talebi kabul etme veya gerekçesini açıklayarak reddetme ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirme yükümlülüğü olduğu, Veri Sorumlusuna Başvuru Usul ve Esasları hakkında Tebliğ’in (Tebliğ) 5’inci maddesinde “İlgili kişi, Kanunun 11’inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, Tebliğ’in 6’ncı maddesinde veri sorumlusunun, bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü kılındığı,
Veri sorumlusunun ilgili kişi tarafından yazılı bir başvuru yapılmadığı iddiası bakımından yapılan incelemede, ilgili kişi tarafından ibraz edilen posta takip kodunun sorgulanmasıyla yapılan başvurunun veri sorumlusuna tebliğ edildiği anlaşıldığından veri sorumlusunun ilgili kişinin başvurusunu cevaplandırmamasının Kanun ve Tebliğ’in ilgili maddelerine aykırı olduğu,
İlgili kişinin kişisel verilerinin veri sorumlusu tarafından işlenme şartlarına aykırı olarak işlenmeye devam edildiği ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarına ilişkin yapılan incelemede, öncelikle ilgili kişi ile veri sorumlusu arasında akdedilen sözleşmenin 13’üncü maddesinde "izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu ve sözleşmenin son kısmında yer alan "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun, ilgili kişi tarafından “Kabul Ediyorum” şeklinde işaretlenmiş olduğunun görüldüğü, ancak ilgili kişi tarafından sunulan irtibat numarası ve rıza gösterilen izinlerin, bizzat kendisinin taraf olduğu tüketici finansman sözleşmesiyle ilgili olduğunun vurgulanması gerektiği,
Veri sorumlusunun Kuruma ilettiği savunmasında ayrıca, üçüncü bir kişi ile aralarında bir sözleşmesinin imzalandığını ve üçüncü kişi konumundaki müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını kendilerine bildirdiğini ifade ettiği, ancak veri sorumlusunun üçüncü kişi müşteri ile aralarında yapılmış olan sözleşmenin incelenmesinden, irtibat numarası olarak ilgili kişinin numarasından farklı bir telefon numarasını bildirdiğinin görüldüğü, anılan sözleşme dışında, üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasını bildirdiğine ilişkin herhangi bir kanıtın Kuruma sunulamadığı,
Bu çerçevede, veri sorumlusu tarafından iletilen cevap yazısında ilgili kişiyi arayan telefon hatlarının şirketlerine ait olduğunun kabul edildiği, veri sorumlusu ile üçüncü kişi arasında imzalanan sözleşmede ilgili kişinin numarasından farklı bir telefon numarasının olduğunun görüldüğü, veri sorumlusu tarafından üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasının bildirildiğine ilişkin herhangi bir kanıt sunulmadığı, ilgili kişiye ait telefonun 2019 yılından 2021 yılına kadar veri sorumlusu tarafından pek çok defa arandığı, bahse konu numaranın asıl borçlu olan üçüncü kişiye ait olmayıp ilgili kişiye ait olduğunun öğrenilmesine rağmen ilgili kişinin silme talebinin reddedilmesi suretiyle ilgili kişinin aranmasına devam edildiği göz önüne alındığında, ilgili kişinin kişisel verisi niteliğindeki telefon numarasının Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarına aykırı olarak işlendiği,
Ayrıca veri sorumlusunun Kuruma ilettiği cevap yazısında, Kurum tarafından gönderilen yazının ardından ilgili kişinin telefon numarasının hemen silindiğinin belirtilmesine karşın silme işlemini tevsik edici herhangi bir belge ibraz edilmediği

değerlendirmelerinden hareketle;

Veri sorumlusunun Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olarak ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi biri bulunmaksızın ilgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle kişisel verisi niteliğindeki telefon numarasını işlemeye devam ettiği göz önünde bulundurulduğunda, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak, hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
İlgili kişinin başvurusunun cevaplandırılmamasının Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e aykırı olduğu değerlendirildiğinden, veri sorumlusunun kendisine yapılan başvurulara Kanun ve Tebliğ’in ilgili hükümlerine uygun şekilde cevap verilmesinde gerekli dikkat ve özeni göstermesi hususunda uyarılmasına,
İlgili kişinin kişisel verisinin silinmesi talebinin yerine getirildiğinin tevsik edilmemesi sebebiyle Kanun’un 7 ve 11’inci maddeleri ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin silinmiş olduğunu kanıtlayan belgeleri Kuruma iletmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/776
Konu Özeti	:	Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi

Kuruma intikal eden dilekçede özetle;

Pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği,
Bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı,
Bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapıldığı, yapılan başvuru neticesinde yine herhangi bir bilgi verilmediği,
Velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadığı ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği

belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketin sağlık ve güzellik ürünleri gibi ürünlerin satışını yapan bir doğrudan satış şirketi olduğu,
Satış yapan gerçek kişi ile şirket arasında, “Başvuru Kuralları ve Koşulları”na uygun olarak şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğu, bu sözleşme kapsamında satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiği ve şirketten bağımsız olduğu,
Diğer bir ifade ile şirketin “Başvuru Kuralları ve Koşulları”na göre, serbest girişimcilerin şirket çalışanı, acentesi, temsilcisi, franchise (imtiyaz) alanı veya genel anlamda şirket ile bağımlı çalışan ilişkisi içerisinde faaliyet gösteren kişiler olmadığı,
Şirket ürünlerini satmak isteyen kişilerin, şirkete başvuruda bulunarak serbest girişimci olabildiği,
Serbest girişimcilerin yalnızca kendi menfaatleri doğrultusunda ve kendi programlarına göre faaliyet gösterdiği, bu kişilerin şirket ürünlerini tamamen kendi tercihlerine göre satın aldığı ve satış faturasının kendi müşterisine ibraz edildiği, doğrudan pazarlama amaçları da dahil olmak üzere, hizmet verdikleri müşterilerden elde ettikleri kişisel veriler bakımından serbest girişimcilerin tek başına ve bağımsız veri sorumlusu olarak hareket ettiği,
Bu faaliyet çerçevesinde şirketin rolünün; ürünlerin ithalatı, serbest girişimcilere ürünlerin satışı ve ürünlerin müşterilere tesliminden yani bir doğrudan satış şirketi- doğrudan satıcı ilişkisinden ibaret olduğu,
Somut olayda broşürün pazarlama şirketi tarafından gönderilmediği ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediği, broşürün daha önce bağımsız olarak topladığı kişisel veriler kullanılarak serbest girişimci tarafından gönderildiği,
Şirket tarafından ilgili kişiye ait herhangi bir kişisel verinin işlenmediği ve bu verilerin serbest girişimciye aktarılmadığı,
Şirketin, serbest girişimcilerin işlediği kişisel veriler bakımından veri sorumlusu olmamakla birlikte serbest girişimcileri gözetim altında tuttuğu ve sözleşme kapsamındaki kurallara aykırılık halinde yaptırım uyguladığı, şikâyet üzerine yapılan araştırma neticesinde serbest girişimcinin geçmişte internetten satış yaptığı müşterilerine broşür gönderdiği, alışveriş yapan kişinin 8 yaşındaki bir çocuk olduğunu bilmediği için bir yanlışlık olduğunun belirtildiği

ifade edilmiştir.

Akabinde konuya ilişkin olarak başlatılan inceleme çerçevesinde gerçek kişi serbest girişimciden savunması istenilmiş olup alınan cevabi yazıda özetle;

•   Kendisinin internetten satış yaptığı dönemde ilgili kişinin kişisel verilerini bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerinden temin ettiği, ilgili kişinin velisinin kendi kızı adına fatura hazırlattığı,
•   E-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini rızaen kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiği ve bu sipariş dahilinde kendisine bu broşürün gönderildiği,
•   Dolayısıyla söz konusu işlemenin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında istisna olarak değerlendirilmesi gerektiği, konunun yanlış anlaşılmadan kaynaklandığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/776 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği,
Kanun’un 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
Somut olayda öncelikle veri sorumlusunun tespitinin yapılmasının gerektiği, bu çerçevede şirket ile serbest girişimci gerçek kişi arasındaki sözleşmede, müşterilerle ilgili kişisel verilerin işleme amacını ve aracını belirlemek ve geçerli veri koruma hukuki yükümlülüklerine uyma hususunda serbest girişimcinin yükümlü olduğunun, şirket ile serbest girişimci arasındaki ilişkinin temsilcilik, işçi-işveren ilişkisi gibi bağımlı bir ilişki olmadığı ve serbest girişimcinin bağımsız bir sözleşmenin tarafı olduğu hükümlerine yer verildiği, bu hükümler dikkate alındığında gerçek kişi serbest girişimcinin pazarlama kapsamında kişisel veri işleme faaliyetinde şirketten bağımsız olarak hareket ettiği, kişisel veri işleme amaç ve araçlarının serbest girişimci gerçek kişi tarafından belirlendiği ve ilgili kişi ile ilişkisinde gerçek kişinin tek başına veri sorumlusu sıfatını haiz olduğu, söz konusu kişisel veri işleme faaliyetinde şirketin bir rolünün bulunmadığı,
Veri sorumlusu tarafından bahse konu kişisel verilerin ilgili kişi tarafından veri sorumlusuna iletildiği ve broşürün iletilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi” istisna hükmü kapsamında değerlendirilmesi gerektiğinin iddia edildiği ancak hükümdeki düzenlemenin aynı konutta yaşayan aile fertlerinin, yine aile içindeki bireylerin kişisel verinin işlemesine ilişkin olduğu, örneğin doğum günü gibi özel günlerde aile içinde çekilen fotoğrafların aile bireyleri tarafından işlenmesinin istisna kapsamında olduğu, incelemeye konu faaliyetin ise bir serbest girişimci tarafından broşür gönderimi suretiyle ilgili kişiye ait kişisel veri niteliğindeki isim ve adres bilgilerinin işlenmesi olduğu ve somut olayda aynı konutta yaşayan aile fertlerinin kişisel verilerinin yine aile bireyleri tarafından işlenmesi söz konusu olmadığından bu istisna hükmünün veri sorumlusu sıfatını haiz olan gerçek kişi bakımından uygulanamayacağı,
Gerçek kişi veri sorumlusu tarafından, ilgili kişinin velisinin daha önce ilgili kişinin isim ve adres bilgilerini kullanarak bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerine ilişkin sipariş oluşturduğu ve bu sipariş teslim edilirken broşürün de iletildiğine ilişkin iddiaları bakımından yapılan incelemede, 213 sayılı Vergi Usul Kanunu’nun (VUK) 231’inci maddesinin 5’inci bendinin “Fatura, malın teslimi veya hizmetin yapıldığı tarihten itibaren azami yedi gün içinde düzenlenir. Bu süreler içerisinde düzenlenmeyen faturalar hiç düzenlenmemiş sayılır.” hükmü ile Mesafeli Sözleşmeler Yönetmeliği’nin 16’ncı maddesinin somut olay tarihindeki birinci fıkrasında yer alan “Satıcı veya sağlayıcı, tüketicinin siparişinin kendisine ulaştığı tarihten itibaren taahhüt ettiği süre içinde edimini yerine getirmek zorundadır. Mal satışlarında bu süre her halükarda otuz günü geçemez.” hükmünü haiz olduğu, bununla birlikte ilgili kişiye e-ticaret sitesi üzerinden gönderilen sipariş ile broşür arasında dört buçuk aylık bir süre olduğu, broşürün e-ticaret sitesi üzerinden verilerin sipariş ile birlikte iletilmediği, öte yandan veri sorumlusu tarafından tanıtım ve pazarlama amaçlı olarak kişisel veri işlenebilmesi için açık rıza alındığına dair ispat edici bir belge ibraz edilemediği göz önüne alındığında veri sorumlusunun tanıtım ve pazarlama amacıyla broşür göndermesi suretiyle ilgili kişinin kişisel veri niteliğindeki isim ve adres bilgilerini işlemesinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

İlgili kişiye broşürü gönderen gerçek kişinin şirketle imzalamış olduğu sözleşme koşullarına göre serbest girişimci olduğu, şirket ürünlerinin satışı konusunda müşterilerle hizmet ilişkisinde bulunurken şirketten bağımsız olarak hareket ettiği, dolayısıyla serbest girişimci gerçek kişinin, müşterilerine ait kişisel veri işleme faaliyetinde bulunurken şirketten bağımsız bir şekilde veri sorumlusu sıfatını haiz olduğu, bu çerçevede şirketin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle şirket hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
İlgili kişi adına mektup yolu ile tanıtım amaçlı broşürün gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğindeki isim ve iletişim bilgilerinin işlenmesinin veri sorumlusu tarafından ibraz edilen faturaya konu sipariş ile bir bağlantısı olmadığı, ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği ve kabahate konu eylemin yalnızca bir kez gerçekleştirildiği kanaatine varıldığından, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin (2) numaralı fıkrası uyarınca işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
Tanıtım ve pazarlama amaçlarıyla kişisel verilerin işlenmesinde ilgili kişilerin açık rızalarının alınması ve Kanun hükümlerine riayet edilmesi gerektiğine ilişkin satış görevlilerinin bilgilendirilmesi gerektiği hususunun pazarlama şirketine bildirilmesine

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/774
Konu Özeti	:	Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi

Kuruma intikal eden şikayette özetle; ilgili kişinin e-posta adresine bir e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin sipariş bilgilerinin gönderildiği, söz konusu e-posta içeriğinde ödenen tutar, resimli olarak siparişin içeriği, gönderici adı soyadı, alıcının adı soyadı, adresi, telefon numarası gibi bilgilerin açık bir biçimde yer aldığı, ayrıca e-postada yer alan “Sipariş Takibi ve Güncelleme” adlı buton sayesinde tüm sipariş detaylarının görülebileceği bir sayfaya yönlendirme yapıldığı, bu sayfada ise gönderici ve alıcı bilgilerine ek olarak sipariş edilen ürünün içerik adı, ürün kodu, rengi ve gönderici tarafından alıcıyı muhatap gönderi notunun görüntülendiği, gönderici veya alıcı bilgileri ile gönderi notu bilgilerinin düzenlenebilir durumda olmakla birlikte sipariş iptal butonunun da aktif olduğu, söz konusu olayların veri ihlali olduğunu tespit ederek ve şahsına ait kişisel verilerinin de belirttiği şekilde başkaları tarafından görülebileceğini düşünerek öncelikle e-ticaret sitesine ait müşteri hizmetleriyle canlı destek sistemi üzerinden irtibata geçtiği, müşteri hizmetleri tarafından müşterinin isim benzerliği neticesinde yanlış e-posta verdiğinin, bu sebeple söz konusu sipariş bildiriminin iletildiğinin, bu siparişten kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edildiği, ancak bahse konu e-posta adresine halen veri sorumlusu e-ticaret sitesi tarafından reklam içerikli e-postaların iletildiği, konunun hata olarak nitelendirilmesinin kişisel verilerin ihlali gerçeğini değiştirmediği, bu itibarla veri ihlalini önlemek adına güvenlik tedbirlerinin alınması konusunda tüm iletişim kanalları üzerinden veri sorumlusuna bilgilendirmede bulunmasına karşın kendisine herhangi bir dönüş yapılmadığı belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin konu hakkında kendilerine başvurduğu ve başvuruya ilişkin cevabın ilgili kişinin ikamet adresine gönderildiği,
İlgili kişinin 20.10.2014 tarihinde şikâyete konu edilenden farklı bir e-posta ile söz konusu e-ticaret sitesine üyelik oluşturduğu, e-ticaret sitesine kayıtlı tüm üyelerin bilgilerinde yapılan araştırmalar neticesinde şikâyete konu siparişte kullanılan e-posta adresi için bir üyelik hesabının bulunmadığı,
Söz konusu siparişin, bir başka kullanıcı tarafından isim benzerliğinden kaynaklı olarak sehven ilgili kişiye ait e-posta adresinin bildirilerek üyelik hesabı açılmaksızın misafir müşteri girişi ile oluşturulduğu ve e-posta ile SMS gönderimi için açık rızanın verildiği,
Üyelik hesabı açmadan oluşturulan siparişlerde kullanıcıların “Kişisel verileriniz, Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni kapsamında işlenmektedir.” bilgisi ile karşılaştığı ve burada aydınlatma yükümlülüğünün yerine getirilmesini sağlayan konularda bilgilendirmelerde bulunulduğu, ilgili kullanıcıların siparişin bir sonraki adımına geçmeyi kabul etmeleri hâlinde kişisel verilerinin işlendiği,
İlgili kişinin veri sorumlusuna yaptığı başvuruda kendisine reklam içerikli e-posta gönderilmemesi ile ilgili olarak herhangi bir talepte bulunmadığı,
Tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığı ve veri sorumlusu tarafından gönderilen tüm ticari elektronik iletilerde bu hususun yer aldığı, ayrıca bu yöndeki şikâyetlerin muhatabının da Kurum değil Ticaret Bakanlığının il ve ilçe müdürlükleri olduğu,
Şikâyete konu somut olayda, bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilmesi, ilgili kişiye ait e-posta adresinin ilgili kişiye ait herhangi bir kayıtla eşleşmemesi ve veri sorumlusunun bu olayda kastının bulunmadığı dikkate alındığında Kanun’un 12’nci maddesinin ihlal edildiğinden söz edilemeyeceği,
Diğer yandan üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının e-ticaret sitesi tarafından teyit edilebilmesine yönelik olarak da teknik geliştirme yapılması çalışmalarına başlandığı ve tamamen kontrol dışında gerçekleşen bu durumun önüne geçmek ve hatalı veri girişlerini engellemek amacıyla planlamaların yapıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/774 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı

Buna göre;

İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin Kanuna aykırı bir biçimde işlendiğine yönelik iddiası hakkında;

Veri sorumlusunun, müşterilerine üye olma seçeneği sunduğu, bu kapsamda üyelik oluşturan kişilerden manuel girilebilecek şekilde e-posta bilgisini beyan etmelerini istediği, veri sorumlusu tarafından üyeliği olmayan müşterilere de hizmet verildiği, üyelik kaydı bulunmaksızın sipariş oluşturan müşterilerden gerek hizmetin ifası gerekse e-faturanın gönderilmesi gibi amaçlarla e-posta bilgisinin yine manuel olarak girilebilecek şekilde beyan etmelerinin istendiği,
Veri sorumlusu tarafından, ilgili kişinin üyelik bilgilerinde yalnızca “xxx” e-posta adresinin olduğu, ilgili kişi ile aynı isme sahip üçüncü kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait bir diğer e-posta adresi olan “yyy” adresini sehven girerek sipariş verdiği, “yyy” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığının belirtildiği, veri sorumlusunun cevabi yazı eki incelendiğinde de, ilgili kişinin üyelik bilgisinde “xxx” e-posta adresinin olduğu ve sistemlerinde “yyy” e-posta adresinin yer almadığının görüldüğü, diğer yandan ilgili kişinin şikâyet ekinde “yyy” e-posta adresine kendisi tarafından oluşturulmayan bir siparişe dair e-ticaret sitesi tarafından bilgilendirme e-postasının gönderildiğine ilişkin ekran görüntülerinin yer aldığı,
İlgili kişiye gönderilen sipariş bilgilendirme e-postasında; söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bunun yanında alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı,
Bireyler tarafından manuel olarak yapılan bilgi girişlerinde yanlış beyanlarda bulunulabilmesinin muhtemel olduğu, veri sorumluları tarafından ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında tanımlanan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik idari ve teknik tedbirlerin alınması yükümlülüğü kapsamında, bu yanlış bilgi girişleri sebebiyle üçüncü kişilere ait kişisel verilerin hukuka aykırı bir biçimde işlenmesinin önüne geçilebilmesi adına, kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulmasına yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği,
Dolayısıyla somut olayda şikâyete konu siparişin kendisi tarafından verilmemesine karşın ilgili kişinin kişisel verisi niteliğindeki “yyy” e-posta adresine veri sorumlusu tarafından bilgilendirme e-postası gönderilmek suretiyle kişisel veri işleme faaliyetinde bulunulduğu, bu işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
Bu çerçevede söz konusu işlemde bir teyit mekanizmasının bulunmaması nedeniyle e-ticaret sitesine üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı,
Bilgilendirme e-postalarının, gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta, sipariş bilgileri gibi bilgileri ihtiva edebileceği, bilgilendirme e-postasının konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, konu ile ilgisiz üçüncü kişinin kişisel verisinin hukuka aykırı bir biçimde işlenmesi sonucunu doğurduğu gibi içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği

İlgili kişinin Kanun kapsamında yaptığı başvuruya veri sorumlusu tarafından cevap verilmediğine yönelik iddiası hakkında:

İlgili kişinin Kanun kapsamında başvuru yapmak maksadıyla doldurduğu başvuru formu ile veri sorumlusunun cevabi yazı ve ekinde yer alan bahse konu belgeler incelendiğinde ve gönderi takip formunda yer alan gönderi barkod numarası sorgulandığında; başvuruya verilecek yanıtın tarafına bildirilme yöntemi olarak yalnızca “Adresime gönderilmesini istiyorum” kutucuğunu işaretlediği, veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiğinin görüldüğü, bu sebeple veri sorumlusu tarafından ilgili kişinin yaptığı başvuruya cevap verildiğinin anlaşıldığı,

İlgili kişinin e-posta adresine veri sorumlusu tarafından kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edilmesine rağmen hâlen reklam içerikli e-postaların iletildiğine yönelik iddiası hakkında:

İlgili kişinin şikâyet dilekçesi ve ekinde; söz konusu siparişe dair gönderilen bilgilendirme e-postalarının, bunun üzerine e-ticaret sitesi asistanı üzerinden gerçekleştirmiş olduğu görüşme trafiğinin ekran görüntüsünün ve Kanun kapsamında yapmış olduğu başvurusunun yer aldığının görüldüğü, veri sorumlusunun cevabi yazı ekinde, bu belgelerin yanı sıra ilgili kişiye verilen yanıtın yer aldığı dokümanlar incelendiğinde; bahse konu siparişten ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin silindiğinin ve kendisine bildirim iletilmeyeceğinin müşteri hizmetleri ile yapılan görüşmede ifade edildiği, bununla birlikte ilgili kişinin veri sorumlusuna başvurusunda hâlen kendisine reklam içerikli e-postanın iletilmeye devam edildiğine dair bir ifadesine rastlanılmadığı ve ilgili kişinin Kuruma ilettiği şikayetinde reklam içerikli e-posta iletilmeye devam edildiği iddiasına yönelik tevsik edici herhangi bir bilgi ve belgeye yer verilmediği,

Veri sorumlusunun tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığına, e-ticaret sitesi tarafından gönderilen tüm ticari elektronik iletilerde sunulan bu imkânın belirtildiğine, bu yöndeki şikâyetlerin muhatabının Kurumun değil Ticaret Bakanlığının il ve ilçe müdürlüklerinin olduğuna yönelik açıklamaları hakkında:

Telefon ve e-posta bilgisinin bir iletişim bilgisi olduğu, bu iletişim bilgilerinin kişisel veri olduğu, kişisel veriler üzerinde Kanun’da belirtilen yollarla gerçekleştirilen her türlü işlemin bir işleme faaliyeti olduğu, bu bilgilerin kişiyi belirlenebilir kılmak maksatlı işlendiği, dolayısıyla SMS ya da e-posta yoluyla ticari elektronik ileti gönderilmesi suretiyle bir kişinin e-posta ya da cep telefonu bilgisinin kullanılmasının bir kişisel veri işleme faaliyeti olduğu ve kişisel verilerin hangi işleme şartlarına dayalı olarak işlenmesi gerektiğini düzenleyen Kanun kapsamında değerlendirileceği

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından taraflara yönelik bir teyit mekanizması kurulmadan satış sözleşmesi ile ilgisiz üçüncü kişi konumundaki ilgili kişiye sipariş bilgilendirmesine dair e-posta gönderilmesi suretiyle kişisel verisinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın işlendiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği kanaatine varıldığından, veri sorumlusunun 550+ çalışan ve 40.000+ tedarikçi ağından oluşan bir ekiple süreçlerini yürütmekte olduğu, şikayete konu olayda veri sorumlusunun Kanun’un 12’nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiği, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 120.000 TL idari para cezası uygulanmasına,
İlgili kişinin Kanun kapsamında yapmış olduğu başvuruya veri sorumlusu tarafından yasal süreler içinde cevap verildiğinin görülmüş olması sebebiyle ilgili kişinin veri sorumlusu tarafından başvuruya cevap verilmediği iddiasına yönelik olarak veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlem olmadığına

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/768
Konu Özeti	:	Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması

İlgili kişinin Kuruma intikal eden şikâyet dilekçesinde özetle; şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesine aykırılık teşkil ettiği ve yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

İlgili kişinin 2015 yılından beri veri sorumlusunun müşterisi olduğu, ilgili sigorta şirketi ile veri sorumlusunun arasında sigorta acentelik sözleşmesinin bulunduğu, bu kapsamda veri sorumlusunun, sigorta şirketinin ürünlerinin satış ve pazarlanması noktasında yetkili acente olarak hizmet verdiği,
5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesi gereği bankaların hizmet ve destek hizmeti aldığı kuruluşlar ve finansal kuruluşlar ile müşteri sırrı niteliğindeki bilgi ve belgeleri yalnızca hizmetin kapsamı ile sınırlı olarak paylaşabildiği, bu durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki işleme şartlarına dayandığı ve bu nedenle bankaların acentesi oldukları sigorta şirketi ile olan bilgi paylaşımlarının da bu yasal düzenlemeler çerçevesince gerçekleştiği,
İlgili kişinin veri sorumlusu tarafından kampanya, hizmet ve ürünlerle ilgili kısa mesaj, e-posta, posta ve arama şeklinde ticari elektronik ileti gönderilmesine yönelik izninin ve bu amaçla kişisel verilerinin işlenmesi konusunda rızasının bulunduğu, bu kapsamda konut sigortası için acentecilik yetkisi doğrultusunda ilgili kişinin aranarak ürün teklifinde bulunulduğunun anlaşıldığı,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddenin ikinci fıkrası gereği müşteriye ait iletişim bilgisinin onaylı veri sayıldığı,
Veri sorumlusu ile ilgili kişi arasında sözleşmesel ilişkinin mevcut olduğu, veri sorumlusunda halen açık ürün ve hesaplarının yer aldığı ve ilgili kişinin bu duruma ilişkin aksi yönde bir beyanının bulunmadığı,
Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına göre Kanun’un yayımı tarihinden önce oluşturulan sözleşmesel ilişki ile ilgili kişi tarafından, veri sorumlusunca sunulan ürün, hizmet ve avantajlardan yararlanmak için söz konusu hizmet ve pazarlamanın gerektirdiği kapsamda kişisel verilerinin işlenmesi ve buna dair iletilerin gönderilmesi konusunda onay verildiğinden bu durumun Kanun’un 5’inci maddesine aykırılık oluşturmadığı, ilgili kişinin Kanun’un geçiş süresi dahilinde aksi bir irade beyanında bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarih ve 2022/768 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün yer aldığı,
Ayrıca Kanun’un “Geçiş Hükümleri” başlıklı Geçici 1’inci maddesinin (3) numaralı fıkrasında; “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükümlerinin bulunduğu,
Bu çerçevede, veri sorumlusunun Kanun’un 8’inci maddesi kapsamında kişisel verilerin aktarımı hususuna gerekçe gösterebileceği üç durum bulunduğu, somut olayda veri sorumlusunun ilgili veri işleme faaliyetini Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sıralanan veri işleme şartlarından birine dayandırmaması durumunda ilgili kişiden açık rıza alma yoluna gitmesi veya kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri gerekçe olarak sunması gerektiği,
Bu bağlamda veri sorumlusunun Kuruma ilettiği savunmasında yer alan ilgili kişinin ticari elektronik ileti gönderimine izin verdiğini gösteren belgenin “Kampanya İletişim Tercihleri Talimatı” olduğu, ilgili talimatın incelenmesi neticesinde “Bankanızın tüm fırsat ve kampanyalarına ilişkin tüm kanallardan tanıtım iletisi almak istiyorum” seçeneğinin, “İleti almak istediğim kanal/kanallar” başlığı altındaki “Hepsi, SMS, telefon, E-mail, adres” seçeneklerinden “Hepsi” seçeneğinin , “İleti almak istediğim ürün/ürünler” başlığı altında “Elementer Sigortayı” (Hayat sigortası dışındaki sigortaların genel adı) da içerecek şekilde yine “Hepsi” ibaresinin seçili olduğunun tespit edildiği, ilgili kişinin şikâyet konusu özelinde kişisel verilerinin aktarılacağı bilgisinin kendisine sunulmadığı ve bu durumun açık rızanın “bilgilendirmeye dayanma” ilkesine aykırılık teşkil ettiği ve dolayısıyla ilgili belgenin kişisel verilerin aktarılması kapsamında açık rıza örneği teşkil etmediği,
İlgili talimat ekranının en alt kısmında “İşbu formda yer alan “tüm kanal ve ürünler” seçeneğinin seçilmesi suretiyle izin verilen kanal ve ürünler, formun imzalanmasından sonraki bir tarihte Bankaca kullanılabilecek ve/veya tanımlanabilecek kanal ve ürünleri de kapsayacaktır.” ifadesinin yer aldığı, bu ifadenin açık rıza şartlarından “özgür iradeye dayanma” unsuruna uygun olmadığı, geleceğe yönelik muğlak bir ifade olduğu, aynı unsura aykırılık oluşturduğu izlenimi yaratan bir diğer hususun ise ilgili belgede kutucukların otomatik olarak doldurulduğunun gözlemlenmesi olduğu, bu kutucukların ilgili kişinin kendi iradesiyle doldurulduğunun şüphe barındırdığı, zira veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve bu kapsamda kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılmasının gerekli olduğu; veri sorumlusunun savunmasında ise, kutucukların ilgili kişi tarafından doldurulduğunu ispatlayıcı herhangi bir ifadeye yer verilmediği,
Yukarıda izah olunan nedenlerle veri sorumlusu tarafından Kuruma sunulan savunmada yer verilen belge ve ifadelerin gerek genel anlamda gerek somut olay özelinde kişisel verilerin aktarımına yönelik ilgilinin açık rızasının bulunduğunu kanıtlar nitelik taşımadığı,
Ek olarak, veri sorumlusunun Kuruma sunduğu savunmasında, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddesinin 2’nci fıkrası gereği ilgili kişiye ait iletişim bilgisini onaylı veri saydıkları, kişinin de 6698 sayılı Kanun’un geçiş süreci dahilinde aksi bir irade beyanında bulunmadığı ve dolayısıyla bu durumun Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına uygunluk teşkil ettiğinin belirtildiği ancak veri sorumlusunun bu noktadaki savunmasının asıl şikayet konusu olan ilgili kişinin kişisel verisinin aktarımı hususuna uygun bir hukuki gerekçe sunmadığı,
Öte yandan 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinin göre “…bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.” şeklinde düzenlendiği,
Yine ilgili Kanun’un “Tanımlar ve kısaltmalar” başlıklı 3’üncü maddesinde “Finansal Kuruluş” tanımının “Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya bu Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini ifade eder.” şeklinde yapıldığı,
Bununla beraber, Bankacılık Kanunu’nun 73’üncü maddesine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Yönetmelik’in “Sır saklama yükümlülüğü” başlıklı 4’üncü maddesinin (4)’üncü bendinin “Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir. Söz konusu verilere ilişkin birinci fıkra kapsamındaki yükümlülük, bu verilerin müşteri sırrı haline gelmesinden itibaren başlar.” ve “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5 inci maddesi “... (2) Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez: a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması…” hükümlerini içerdiği,
Somut olayda, veri sorumlusunun savunmasında şikâyet konusu veri işleme faaliyetine yönelik Kanun kapsamında bir açık rıza aldığına dair ve kişinin şikâyet konusu veri işleme faaliyeti yönünde bir talimatının veya talebinin olduğuna dair kanıtlayıcı bilgi ve/veya belgeye rastlanılmadığı, yukarıda ifade edilen ilgili Yönetmelik uyarınca veri sorumlusunun sır saklama yükümlülüğünden istisna tutulabilmesi adına sadece belirtilen amaçlarla sınırlı kalınması şartıyla düzenlemesi gereken gizlilik sözleşmesine Kuruma sunulan bilgi ve belgeler arasında rastlanılmadığı, nihayetinde veri sorumlusunun ilgili kişinin kişisel verilerini ilgili sigorta şirketi ile paylaşması hususunda Kanun’un 8’inci maddesindeki şartları sağlamadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine Kanun’un 8’inci maddesine aykırı olarak aktarıldığı; bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasında öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.Temmuz.2022: “Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi"

Karar Tarihi	:	07/07/2022
Karar No	:	2022/655
Konu Özeti	:	Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi

İlgili kişilerin vekillerinin Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilerle kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği, konuya ilişkin yapılan başvuruya veri sorumlusunun verdiği cevap yazısında, ilgili kişilerin ortağı oldukları şirketin bir telekomünikasyon şirketine- veri sorumlusu bu şirketin vekilliğini yürütmektedir- olan borcundan ötürü icra takibi başlatılması nedeniyle Ticaret Sicil Gazetesi’nden ilgili şirketin ortaklarının kimlik bilgilerine, bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla ise telefon numaralarına ulaşıldığı, yapılan başvuru neticesinde veri sorumlusunca ilgili telefon numaralarına erişimin engellendiği ve bu numaranın başka bir kişi ile paylaşımının mümkün olmadığı, işlenen verilerin ise geri dönülemez şekilde yok edilmiş olduğu yönünde açıklamada bulunulduğu, buna karşın şirket ortaklarının şirket borçlarından dolayı şahsi sorumluluklarının bulunmaması sebebiyle yapılan veri işlemenin hukuki bir temeli olmadığı, kendilerini arayan veri sorumlusu çalışanlarına defaten şirketin tasfiye edildiği, alacağın zamanaşımına uğradığı ve aranmak istemedikleri belirtilse de şikâyete konu fiillerin devam ettirildiği ayrıca aydınlatma yükümlülüğünün her bir veri işleme faaliyeti yönünden yerine getirilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup, Kuruma intikal eden cevabi yazıda özetle;

Somut olaya konu telekomünikasyon şirketinin vekili olması nedeniyle ilgili şirketin borcuna ilişkin başlatılan icra takibi gereğince borcun tahsili amacıyla Ticaret Sicil Gazetesi üzerinden yapılan sorguda şirket ortağı olarak ilgili kişilerin adlarına ulaşıldığı, ilgili kişilere ait telefon numarası bilgilerinin ise icra dosyası borçlusu olan şirketin ortağı olmaları sebebiyle Bilgi Teknoloji Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan kuruluşlardan biri olan bilinmeyen numaralar hizmeti sunan operatörler kullanılarak elde edildiği,
Benzer şekilde Türkiye Barolar Birliği (TBB) tarafından sunulan Ulusal Hukuk Ağı Projesi (UHAP) sistemi üzerinden sorgu ücreti ödemek suretiyle ad, soyadı ve/veya T.C. kimlik numarası ile GSM numaralarına erişilebildiği,
İlgili kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında bulunulmadığı, yalnızca yönetim kurulu üyelerine borç bildiriminde bulunulduğu,
Şikâyetçilerin söz konusu telefon numaralarının bir defaya mahsus olmak üzere Avukatlık Kanunu’nun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı,
İlgili kişilere ait başvurunun veri sorumlusuna ulaşması ile kişisel verilerinin silindiği ve sistemler üzerinden geri dönülemez biçimde yok edildiği,
Danıştay 10. Dairesinin 2014/6559 esas ve 2015/874 sayılı kararında avukatlık mesleğini icra eden davacı avukatın davalıların iletişim bilgilerini öğrenmek için yapılan başvurusunun reddinin “hak arama özgürlüğünün ihlali” nedeniyle hukuka aykırı olduğu yönünde hüküm tesis edildiği, bu karar göz önünde bulundurulduğunda hukuk ofisinin müvekkillerin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği,
Vekâleten görülen işlerde karşı tarafa ait ad, soyadı, T.C. kimlik numarası, adres bilgisi, nüfus kayıt bilgileri, anne-baba adları, aylık kazançları, eğitim durumları ve telefon numaralarının işlendiği; yargısal faaliyette ise özellikle gizlilik kararı verilmemişse mahkemelerde ve icra müdürlüklerinde olan tüm dosyaların vekâlet ilişkisi olsun olmasın Avukatlık Kanunu gereğince tüm avukatlar tarafından incelenebildiği hatta avukat olsun olmasın tüm vatandaşların yargı faaliyetinin Türk Milleti adına yürütülmesi sebebiyle duruşmalara katılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/655 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
Somut olayda, ilgili kişilere ait kişisel verilerin işlenmesinde işleme amacını (borcun tahsili amacıyla ilgili kişilerle iletişim kurulması/ bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması/ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için vb.); işleme vasıtalarını (UHAP sistemi aracılığıyla/ bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla vb.) ve işlenen verilerin ne kadar süre (borç tahsil edilinceye kadar/ silme, yok etme talebinde bulunulması halinde vb.) ile nasıl saklanılacağına (veri sorumlusunun işyerinde fiziken/ bilgisayarlarında vb.) karar vermesi hususunda avukatın veri sorumlusu olarak hareket ettiği,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacının; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak olarak tanımlandığı,
Avukatlık Kanunu’nun 35/A maddesinde avukatların dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konulara inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebileceğinin düzenlendiği,
Somut olayda, ilgili kişilerin vekilinden alınan şikâyet dilekçesinde şirketin borçlu sıfatını haiz olduğu; ilgili kişilerin ise ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerinin hiçbir hukuka uygunluk sebebi olmaksızın işlendiği, şirketin fesih edildiği, zaten limitet şirket ortaklarının borçtan şahsi sorumluluğu bulunmadığı ve borcun zaman aşımına uğradığı iddiaları bulunulduğunun anlaşıldığı,
Öncelikle kişisel verilerin işlenmesinde işleme sebepleri olarak kabul edilen Kanun’un 5’inci maddesinde yer alan hallerin aynı zamanda birer “hukuka uygunluk sebebi” olarak karşımıza çıktığı, bu sebeplerin söz konusu veri işleme faaliyetini Kanuna aykırı olmaktan çıkardığı, diğer bir ifade ile fiile hukuk dünyasında uygun bir zemin yarattığı, kişisel verilerin korunması mevzuatında yer alan “sebep” kavramından farklı olarak borcun varlığı yahut talep edilip edilemeyeceği hususlarının farklı maddi hukuk dallarının değerlendirme alanına girdiği,
Borç zamanaşımına uğramış olsa bile bunun bir def’i olduğu ve taraflarca ileri sürülmedikçe borcun talep edilebileceği, talep edilebilirlik olgusunun bile başlı başına bir veri işleme sebebi olduğu, bir borcun varlığı açısından ise borcun bir limited şirkete ait olduğu, ilgili kişilerin borçlu olmadığını belirttiği ancak bu kişilerin yönetim kurulu üyesi olduğu düşünüldüğünde iletişim kurulması muhtemel tarafların kendileri olduğunun hayatın olağan akışına uygun düştüğü,
Veri sorumlusu avukat açısından Ticaret Sicil Gazetesi’nde ortak olarak görülen ilgili kişilerin kişisel verilerinin, şirketin iflasından sonra borcun tahsil edilebilmesini sağlamak amacıyla taraflarla uzlaşı kurulmasını teminen Avukatlık Kanunu’nun 35’inci maddesi hükmü gereğince işlendiği, hali hazırda avukatların görevlerini ifa ederken Avukatlık Kanunu’nun 2’nci maddesine uygun olarak taraflarına tevdi edilen işleri yerine getirmek amacıyla – somut olayla telekomünikasyon şirketi ile arasında bulunan vekâlet ilişkisinden kaynaklanan borcun tahsil edilmesi amacıyla – karşı taraflara ve müvekkillerine ilişkin verileri işlemesinin makul bir beklenti olacağı,
UHAP sisteminde avukatlara sistem üzerinden dava açma, icra dosyası açma, dilekçe gönderme, beyan/talep yollama, T.C. kimlik numarası ile telefon numarası sorgulaması ve T.C. kimlik numarasına kısa mesaj gönderimi vb. imkânlar sağlandığı, bu imkânların kullanılması sırasında tıpkı tevzi bürolarında olduğu gibi bir davanın açılması / talebin gönderilmesi / beyanda bulunulması vb. amaçlarla gerekli olan taraflara ait verilerin sorgulanmasının/edinilmesinin söz konusu olduğu,
Bilinmeyen numaralara ilişkin sunulan rehberlik hizmetlerinin ise telefon işletmecilerinin numara veri tabanlarına erişerek elde edilen bilgilerin gerekirse işlenerek kullanıcılara ulaştırılması amacına hizmet ettiği,
Yukarıda belirtilen yöntemlerin birer işleme sebebi olmayıp veri toplama yöntemi olduğu, bu anlamda bahsi geçen platformların mevzuata aykırı bir kullanımı (yetkisiz erişim/hatalı bilgi girişi/veri sızıntısı vb.) söz konusu olmadıkça ve aksi ispat edilmedikçe veri toplamanın yönteminin karine olarak hukuka uygun kabul edileceği ve bu anlamda hem UHAP hem bilinmeyen numaralar servislerinin avukatların açık ve yetkileri oranında veri elde edebilecekleri platformlar olarak kabul edilebileceği,
İlgili kişilerin vekilinin Kuruma sunduğu dilekçede yer alan veri sorumlusu adına arama gerçekleştiren çağrı merkezi çalışanlarına şirketin tasfiye edildiği ve bir daha aranmak istemediklerinin belirtilmesine rağmen ısrarla taciz boyutuna varacak şekilde arka arkaya aramalar yapıldığı iddiası ile ilgili olarak ise geçmiş tarihli birçok Kurul Kararında, araç ve amaç arasındaki dengede ölçüsüz bir durum ortaya çıkarması ve veri sorumlusunun sahip olduğu hakkı kötüye kullanması sonucunu doğurması sebepleriyle söz konusu davranışın genel ilkelerden biri olan hukuka ve dürüstlük kurallarına uygun olma şartına aykırılık taşıyacağı yönünde değerlendirmede bulunulduğu, bununla birlikte Kuruma iletilen şikâyette aramalara ilişkin bir kayda yer verilmediği ve dolayısıyla ilgili kişilerin vekili tarafından iddia edilen “defaten/ısrarla” arama yapılması durumunun sunulan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği,
İlgili kişinin veri sorumlusu tarafından Kanun’un 10’uncu maddesi kapsamında aydınlatılmadığı iddiasına ilişkin olarak, ilgili kişilerin vekilinden alınan dilekçede, ilgili kişilerin Kanun’un 10’uncu maddesi uyarınca aydınlatılmadığına ilişkin bir iddia bulunmamakla birlikte veri sorumlusuna yapılan başvuruda da aydınlatma hususuna ayrıca değinilmediğinin görüldüğü; bunun yanı sıra Kuruma intikal ettirilen dilekçede veri sorumlusunun gerçekleştirdiği her bir veri işleme faaliyeti yönünden aydınlatma yükümlülüğünün yerine getirilmediği hususunun Kurulca resen değerlendirilmesinin talep edildiği,
Bu kapsamda avukatların uzlaşma amacıyla karşı tarafla iletişim kurduğu anda kendini tanıtması, veriyi nereden temin ettiğinin, ne amaçla iletişim kurduğunun karşı tarafa bildirilmesi hayatın doğal akışı içerisinde değerlendirilebilecekken verilerin ne kadar süreyle işleneceği, hangi yöntemler kullanılarak dosyalandığı/saklandığı gibi hususların bildirilmesinin bu akış içerisinde mümkün olmayacağı, aynı hususun borçlu ilgili kişilere icra takibi başlatılması ya da dava açılması sürecinde müvekkilden elde edilen karşı taraf bilgilerinin yine vekâlet ilişkisinin yürütülmesi amacıyla işlenmesinde aydınlatma yükümlülüğünün bir veri sorumlusundan uygulanması gereken şekilde yerine getirilmesinin beklenemeyeceği değerlendirilmekle birlikte bu hususun avukatın aydınlatma yükümlülüğünden muaf olduğu anlamına gelmediği; avukatın, vekâlet ilişkisi kurduğu kişiyi-yani müvekkilini- Kanun’un 10’uncu maddesi hükmü gereğince aydınlatma yükümlülüğü bulunduğu ve bu veri işleme faaliyetini gerçekleştirirken öğrendiği diğer bilgiler açısından zaten Avukatlık Kanunu gereğince sır saklama yükümlülüğü altında olduğu

değerlendirmelerinden hareketle;

İlgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusunca gerçekleştirildiği iddia edilen “defaten/ısrarla” arama yapılması durumunun ise Kuruma sunulan dilekçe ve eklerinde yer alan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği dikkate alınarak bu hususta yapılacak bir işlem olmadığına,
İlgili kişilerce yapılan veri sorumlusu başvurusunda aydınlatma yükümlülüğüne ilişkin iddialara yer verilmemiş olması sebebiyle veri sorumlusuna tanınan savunma hakkının kısıtlanmasının önüne geçilmesi amacıyla söz konusu hususun inceleme kapsamına dahil edilemeyeceğine

karar verilmiştir.

07.Temmuz.2022: “İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi"

Karar Tarihi	:	07/07/2022
Karar No	:	2022/653
Konu Özeti	:	İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisin bildirilmesi talebi

İlgili kişinin Kuruma intikal eden dilekçesinde özetle;

Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusundan talep edildiği,
Ancak, kredi kartı üzerinde yazan isim bilgisinin veri sorumlusuna ait sistemlerde tutulmadığı ve siparişe ilişkin telefon bilgisinin kendisiyle paylaşılmasının uygun olmadığı gerekçesiyle söz konusu talebin veri sorumlusu tarafından reddedildiği ancak savcılık kararının bulunması halinde ilgili kişiyle bu bilgilerin paylaşılabileceğinin belirtildiği,
Platform üzerinden gerçekleştirilen alışverişlerde her ne kadar ilgili banka sayfasına yönlendirme yapılsa da kredi kart bilgileri alanının ödeme aşamasının başında veri sorumlusunun internet sayfası üzerinden doldurulduğu ve kredi kartı bilgilerinin isteğe bağlı olarak kaydedilebildiği, bu sebeple kredi kartı bilgilerinin veri sorumlusunun sisteminde tutulmadığı iddiasının gerçeği yansıtmadığı, aydınlatma metninde internet sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etme ve bu kişiyle iletişim kurmak amaçlarıyla adres ile diğer gerekli bilgilerinin kaydedilmesi suretiyle kişisel veri işlendiğinin belirtildiği,
Kayıt altına alındığı beyan edilen bilgilerin sisteme kayıtlı kullanıcı e-postası ve telefon yoluyla talep edilmesine rağmen bu bilgilerin kendisiyle paylaşılmamasının Kanun’a aykırı olduğu

ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin platform üzerinden alışveriş yapabilmesi için kart bilgilerini girmesi gerektiği, daha sonraki alışverişlerinde kullanmak istemesi halinde kredi kartı bilgilerini kaydedebileceği, buna karşın kredi kartını kaydetmeyi seçse dahi veri sorumlusunun kredi kartı bilgilerine ilişkin verilerin tamamına erişemediği, PCI DSS Level-1 Sertifika uyumluluğu bulunması nedeniyle ilgili kişilerin ödeme yaptıkları kredi kartı bilgilerinin veri sorumlusu sistemlerinde maskeli olarak tutulduğu,
İlgili kişinin somut olaya konu üç adet siparişten 53……8 ve 53……4 numaralı siparişlerin ilgili kişinin üyelik hesabıyla yapıldığı, 54…..8 numaralı siparişin ise ilgili kişinin üyelik hesabından yapılmadığı ve bu siparişin başka bir üyenin hesabından yapıldığının tespit edildiği, yazı ekinde 54……8 numaralı siparişin başka bir kişiye ait olduğunu tevsiken ekran görüntüsünün sunulduğu,
Öte yandan bazı durumlarda üyelik hesabından yapılan işlemlerde üçüncü kişilere ait isim, soy isim ve telefon numarası bilgilerinin verildiği; somut olayda da 53…..8 ve 53…..4 numaralı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişinin adı, soyadı ve telefon numarası bilgilerinin verildiğinin anlaşıldığı, bu bağlamda talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle ilgili kişinin talebinin yerine getirilmediği,
İlgili kişinin üyeliği ile yapılan iki alışverişte üçüncü kişiye ait isim, soy isim ve telefon numarası bilgilerinin bulunmasının; aynı üyelik hesabının eş, anne, baba, kardeş gibi birden fazla kişi tarafından ortak kullanılması, üyenin kendi şifresini başka bir üçüncü kişiyle paylaşması, üyenin hediye almak istediği üçüncü kişinin teslimat bilgilerini teslimat amacıyla sisteme eklemesi gibi ilgili kişinin bilgisi dâhilindeki nedenlerden kaynaklanabileceği gibi başka bir cihazdan giriş yaptığı hesabını kapatmadan çıkması, üyelik hesabı oluşturduğu farklı platformlarda hep aynı şifreyi kullanması gibi ihmallerden kaynaklanabileceği,
Kanun’un 11’inci maddesinde vurgulandığı üzere ilgili kişilerin “kendisiyle ilgili” kişisel verilere ilişkin bilgi talep etme hakkının olduğu, dolayısıyla veri sorumlusunun, üçüncü kişinin kişisel verisine ilişkin olarak ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığı,
Ortak hesap kullanan kişilerin daha sonra ihtilaflı hâle geldiği durumların, örneğin ortak hesap kullanan eşlerin siparişlere ilişkin bilgi talebinde bulunduğu durumların yaşanabildiği göz önünde bulundurularak ilgili kişi taleplerinin hassasiyetle incelendiği ve ilgili kişinin hakkında bilgi talep etmiş olduğu sipariş kendi üyelik hesabından yapılsa dahi alışverişin başka bir kişi tarafından yapıldığı tespit edilmişse bilgi paylaşmama konusunda titizlikle hareket edildiği,
Öte yandan kredi kartı numarası bilgilerine uluslararası güvenlik standartları nedeniyle maskeli olarak erişim sağlanabilmesi nedeniyle bu bilgileri paylaşmasının mümkün olmadığı, ilgili kişinin talep ettiği kart üzerindeki isim ve soy isim bilgisinin ise veri sorumlusu nezdinde maskeli olarak dahi saklanmadığı,
İlgili kişinin, üyelik hesabından yapmış olduğu kendisine ait siparişlere yönelik bilgi talebinde bulunması halinde çağrı merkezi doğrulama soruları aracılığıyla bu talebinin karşılanabileceği, ilgili kişinin taleplerini yerine getirmemek adına değil yalnızca mevzuat hükümleri ve veri güvenliği tedbirleri doğrultusunda yanıt verildiği,
İlgili kişinin bilgisi dışında bir işlem olması ihtimali göz önünde bulundurularak bu konu hakkında yetkili mercilere başvurması yönünde kendisine bilgi verildiği ve ilgili kişinin üyelik hesabının güvenlik nedeniyle işleme kapatıldığı,
İlgili kişinin talebinin Kanun’un 11’inci maddesi kapsamında olmadığı, ilgili kişilere verilecek yanıtın Kanun’un diğer hükümlerine aykırılık teşkil etmesi hâlinde veri sorumlusunun Kanun’un 13’üncü maddesi uyarınca reddetme hakkının olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/653 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Ayrıca, Kanun'un "İlgili kişinin hakları" başlıklı 11'inci maddesinde, ilgili kişilerin haklarının sıralandığı, bu maddede "Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir."
hükümlerine yer verildiği,
Somut olayda veri sorumlusu tarafından sunulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry –PCI- Data Security Standard –DSS-) Servis Sağlayıcıları Yerinde İncelemesi için Uygunluk Tasdiki (Attestation Of Compliance –AOC- For Onsite Assessments Service Providers) belgesinde yer aldığı üzere mobil ödeme teknolojisi sağlayıcısı aracı şirket tarafından; kartın fiziksel olarak bulunmadığı işlemlerin, tacirlerden veya müşterilerden alınarak üye iş yeri anlaşması yapan kuruluşa (acquirer) yönlendirildiği, aynı zamanda müşterilere dijital cüzdan hizmeti sağlandığı, kart hamili verisinin sistemlerinde saklandığı, GSM numarasının müşterileri benzersiz olarak tanımladığı,
Mobil ödeme teknolojisi sağlayıcısı aracı şirketin 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında bir ödeme hizmeti sağlayıcısı olmadığı, üye iş yeri için kart bilgilerini saklama ve sonraki ödemeler için saklanan bilgilerin kullanılmasına izin veren bir hizmet sağladığı,
Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 27/A maddesinin beşinci fıkrası hükmü uyarınca hassas ödeme verisinin üye işyerine (somut olayda veri sorumlusuna) hiç iletilmemesinin gerektiği; ayrıca ödeme teyidinin yapılması amacıyla bir veri gönderilmesi gerekmesi hâlinde ise hesap numarası veya hassas ödeme verisi yerine her ödeme için oluşturulan farklı bir token iletilerek daha sonraki ödemeler için oluşabilecek risklerin ortadan kaldırılabileceği,
Mobil ödeme teknolojisi sağlayıcısı aracı şirketin hizmet sözleşmesi incelendiğinde üye işyeri ile hassas kart verisinin paylaşılmayacağının beyan ve taahhüt edildiği, kart bilgisi görüntüleme ve silme işlemleri dahil olmak üzere kart saklama hizmetinin ilgili şirket tarafından sağlandığı ve veri sorumlusunun hassas kart bilgilerine sahip olmadığının anlaşıldığı, nihayetinde ilgili kişinin kart bilgilerine erişim talebinin veri sorumlusu tarafından karşılanamayacağı,
İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında siparişe ilişkin bilgi talebinin reddedilmesine ilişkin olarak; telefon numarasına ilişkin talebinin “ilgili kişinin kendisiyle ilgili olması” kriteri çerçevesinde incelendiğinde, kişisel verilerin aynı anda birden fazla kişiyle ilgili olmasının mümkün olduğu, ilgili kişinin teslimatı için verilen iletişim adresi üçüncü kişiye ait olsa da ilgili kişinin üyelik hesabından yapılan alışverişle ilgili olarak söz konusu telefon numarasının aynı zamanda ilgili kişiye ilişkin olduğu,
Avrupa Veri Koruma Kurulu’nun (EDPB) “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerinde; ilgili kişinin, münhasıran başkasını ilgilendiren veriler hariç olmak üzere, yalnızca kendisiyle ilgili kişisel verilere erişme hakkına sahip olduğu, bununla birlikte verilerin ilgili kişiye ilişkin kişisel veri olarak sınıflandırılmasının, bu kişisel verilerin başka biriyle de ilgili olmasına bağlı olmadığının ifade edildiği, “kendisiyle ilgili kişisel veriler” ifadesinin kapsamının “çok kısıtlayıcı” yorumlanmaması gerektiğinin tavsiye edildiği, ayrıca rehberde kişisel verilerin hane halkı kapsamında işlenmesine yönelik istisna hükmünün kapsamına girmeyen haller için ilgili kişinin sağladığı kişisel veriyi başka amaçlarla kullanması halinde, ilgili kişinin kendisinin de veri sorumlusu olarak nitelendirilebileceği ve veri sorumlusunun bu konuda diğer ilgili kişiyi bilgilendirmesi gerektiğinin ifade edildiği, bu çerçevede söz konusu rehber ilkeler ile erişim hakkının sınırları hakkında yapılacak değerlendirmede;
- Hak ve özgürlükler üzerinde olumsuz bir etkisi olup olmadığı (diğer bireyler için risk olasılığı ve riskin öneminin değerlendirilmesi)
- Başkalarının hak ve özgürlüklerinin, ilgili kişinin hakkına üstün gelip gelmediği
dengesi temel alınarak eğer kişisel verilere erişim hakkı çözümsüzlüğünde, örneğin bir ses kaydını yalnızca transkriptinin sağlanması gibi uygun formatta kişisel verilere erişim hakkı tanınarak uzlaşılması veya böyle bir uzlaşma sağlayacak bir yöntem bulunmadığı durumda, diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiği,
Somut olayda, veri sorumlusu tarafından teslimat için verilen iletişim adresinin farklı olması nedenleri arasında;
  - Bir üyeliğin birden fazla kişi (aile üyeleri gibi) ile ortak kullanılması,
  - Üyenin şifresini başka kişiyle paylaşarak üyelik hesabını kullanması,
  - Hediye almak istediği üçüncü kişi bilgilerini teslimat amacıyla sisteme eklemesi,
  - Kimlik veya hesap hırsızlığı
hususlarının sayıldığı, ayrıca veri sorumlusu tarafından üçüncü kişinin kişisel verisine ilişkin ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığının belirtildiği,
Veri sorumlusunun platformu üzerinden üyelik hesabına giriş yapıldığında halihazırda verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında üçüncü kişinin ismi, soy ismi ve adres bilgisine ulaşılabildiği, yalnızca telefon numarasının yıldızlanarak maskelendiğinin anlaşıldığı; somut olayda ilgili kişinin üyelik hesabından verilen siparişin teslimatı için bildirilen telefon numarasının
- Üçüncü kişinin hak ve özgürlükleri üzerinde olumsuz bir etkisinin olup olmadığı (üçüncü kişi için risk olasılığı ve riskin öneminin değerlendirilmesi),
- Üçüncü kişi hak ve özgürlüklerinin, ilgili kişinin erişim hakkına üstün gelip gelmediği
arasında bir denge kurulmak suretiyle ilgili kişinin kişisel veriye erişim hakkının üstün geldiği kanaatine varılması halinde, ilgili kişinin üyelik hesabından verilen siparişlerde teslimat için bildirilen telefon numarasının, ilgili kişinin makul gerekçesi bulunması ve erişim talebiyle ilişkili dolandırıcılık riski bulunmaması şartıyla veri sorumlusu tarafından ilgili kişinin kimliğini doğrulayacak mekanizmalar aracılığıyla ilgili kişiye sağlanması gerektiği,
Öte yandan, ilgili kişinin üyelik hesabı kullanılmaksızın verilen üçüncü siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığı veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişiye sağlanamayacağı

değerlendirmelerinden hareketle;

İlgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına,
Üyelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına,
İlgili kişinin üyelik hesabı kullanılmaksızın verilen diğer siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığının veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, şikayetçinin kişisel verisi olmaması nedeniyle söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişinin erişim hakkı kapsamında bulunmadığı kanaatine varıldığından bu hususta veri sorumlusu hakkında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

29.Haziran.2022: “İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması"

Karar Tarihi	:	29/06/2022
Karar No	:	2022/630
Konu Özeti	:	İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen kişisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı olarak paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl boyunca bu hesapta tutulduğu, doktor ile veri sorumlusu hastanenin gerçekleştirilen ameliyatları sosyal medya hesaplarında paylaşarak yeni müşteriler kazanmayı hedefledikleri, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırılmış olmakla birlikte veri sorumlusu hastane tarafından ilgili kişiye verilen cevapta ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiğinin ispat edilemediğinin belirtildiği iddialarına yer verilmiş ve kişisel verilerinin reklam ve pazarlama amaçlı işlenmesinde açık rızasının bulunmadığı belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu hastaneden savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişinin, kişisel verisi niteliğinde olduğunu iddia ettiği görüntülerin kişisel veri niteliği taşımadığı, zira kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması ve bu gerçek kişinin kimliğinin belirli ya da belirlenebilir nitelikte olması gerektiği, ancak şikâyete konu görüntü ile ilgili kişinin ilişkilendirilmesinin mümkün gözükmediği, söz konusu görüntünün yalnızca operasyon yapılan burundan ibaret olduğu, burun dışında herhangi bir belirleyici unsur olmadığı, kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı, bahse konu sosyal medya gönderisinde ilgili kişinin kimlik bilgilerinin, isim veya soy isminin etiketleme yöntemi ile sosyal medya hesabında paylaşılmadığı, dolayısıyla yalnızca bahse konu görüntüye bakılarak herhangi bir kişinin tespit edilemeyeceği, ayrıca söz konusu ameliyatın bir estetik ameliyatı olduğu göz önünde bulundurulduğunda yapılan tıbbi müdahalenin gösterilebilmesi amacıyla uygulanan tedaviden hemen sonra çekilen fotoğrafın ilgili kişiyi tanımlamadığı,
Öte yandan ilgili kişiye hastane bünyesinde uygulanan tıbbi tedavinin akabinde, hastane doktorlarından birisi tarafından ilgili kişinin bahse konu fotoğrafının çekildiği, ilgili kişinin başvuru dilekçesinin ekinde yer alan görsel dışında sistemlerinde ilgili kişinin bir görüntüsünün mevcut olmadığı, ilgili kişinin başvurusu üzerine ilgili görselin kaldırıldığı ve hastane bünyesinde çalışan bahse konu doktor tarafından da imha edildiği,
Özel Hastaneler Yönetmeliği’nin 48’inci maddesi hükmü uyarınca düzenlenen hasta dosyasında ilgili kişinin çeşitli kişisel verilerinin işlendiği ve bu verilerin hukuka ve dürüstlük kuralına uygun şekilde, güncel ve doğru olmak şartıyla, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ve yönetilmesi amaçları doğrultusunda belirlenmiş olan meşru amaçlarla sınırlı olarak ölçülülük ilkesine uygun şekilde, 6698 sayılı Kanun’un 5 ve 6’ncı maddelerinde belirtilen şartlar dahilinde hukuka uygun olarak işlendiği,
Bahse konu görselin, fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin açık rızası alınarak paylaşıldığı, hastane tarafından hem sözlü hem de yazılı olarak ilgili kişinin açık rızasının alındığı, bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren belgenin Kuruma sunulduğu, dolayısıyla ilgili kişinin açık rızasının bulunmadığı yönündeki iddiasının gerçeği yansıtmadığı,
Görüntünün paylaşım tarihinden iki yıl sonra ilgili kişinin, bahse konu fotoğrafı çeken doktora, fotoğrafının, kendisinin sosyal medya hesabından kaldırılması talebinde bulunarak açık rızasını geri alması üzerine söz konusu paylaşımın kaldırıldığı,
İlgili kişinin bahsi geçen doktor tarafından ameliyat sonrasında düzenli olarak muayene edildiği, periyodik muayenelerde söz konusu paylaşımlar hakkında herhangi bir talebi bulunmayan ilgili kişinin tedavinin tamamlanması sonrasında itirazlarda bulunmasının kişisel fayda sağlayacağı umuduyla hareket ettiği anlamına geldiği ve ilgili kişi tarafından bahsi geçen doktora gönderilen ihtarnamede, fotoğraflarının sosyal medya platformlarından kaldırılması akabinde kendisine belli bir miktar manevi tazminat ödenmemesi durumunda yasal yollara başvurulacağının belirtilmesinin, Kurum tarafından kesilen idari para cezasından kendisinin faydalanabileceği düşüncesi taşıdığı anlamına geldiği,
Taraflarına yapılan başvuru sonrasında ilgili kişinin talebinin yerine getirilmesi ve fotoğrafların tüm alanlardan kaldırılmasının ardından Kurula şikâyette bulunulmuş olmasının ilgili kişinin açıkça kötü niyetli olduğunu gösterdiği

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/06/2022 tarih ve 2022/630 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ğ) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
Somut olayda veri sorumlusu tarafından şikâyete konu görüntünün ilgili kişiyi tanımlamadığı, yalnızca operasyon öncesi ve sonrası burun görselinin bulunduğu, ilgili kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı beyan edilmiş olmakla birlikte Kuruma intikal eden şikâyet dilekçesinin ekinde yer alan görüntüler incelendiğinde; ameliyat öncesi ve sonrasına ilişkin burun görselinin yer aldığı görüntüde ilgili kişinin gözlerinin görsel karakter kullanılmak suretiyle kapatıldığı, ancak görsel içeriğinin yalnızca burundan ibaret olmadığı, yüzün ilgili kişiyi tanımlayabilecek kaş, bıyık vb. bölümlerinin açıkça yer aldığı ve anonimleştirilmediği görüldüğünden bahsi geçen görsellerin ilgili kişinin kimliğini belirlenebilir kılabilme özelliğinde olduğu, yüzün açıkta kalan bölümlerinden görselde yer alan kişinin ilgili kişi olduğunun tespit edilebileceği, dolayısıyla ilgili kişiye ait kişisel veri niteliği taşıdığı,
Veri sorumlusu, bahse konu görüntünün fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin rızası alınarak paylaşıldığını, bu çerçevede hastane tarafından ilgili kişinin hem sözlü hem de yazılı olarak açık rızasının alındığını ve bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren muvafakatnamenin Kuruma sunulduğunu beyan etmiş olmakla birlikte bahse konu muvafakatname incelendiğinde; ilgili kişinin, kişisel verilerinin kullanılmasına açık rıza gösterdiği tarafın tedaviyi gerçekleştiren sağlık kuruluşu olduğunun görüldüğü ancak somut olayda ilgili kişinin ameliyat sırasında çekilen görsellerini sosyal medya hesabında paylaşanın hastanede çalışan bir doktor olduğu,
Bu doğrultuda ilgili kişinin kişisel verilerinin ameliyatının gerçekleştirildiği sağlık kuruluşu tarafından kullanılmasına rıza gösterdiği, ancak hastane doktorunun bu verileri kullanması yönünde bir rızasının bulunmadığı, bu nedenle fotoğrafları paylaşan doktor tarafından ilgili kişiye ait kişisel verilerin Kanun’da belirlenen işleme şartları sağlanmaksızın hukuka aykırı şekilde işlendiği,
Veri sorumlusunun, bahsi geçen doktora ilgili kişi tarafından gönderilen ihtarnamede maddi taleplerin yer aldığı ve ihtarnameden, ilgili kişinin Kurum tarafından kesilen idari para cezasından faydalanabileceği düşüncesinde olduğunun anlaşıldığı yönündeki iddiası veri sorumlusunun cevap yazısının ekinde yer alan belgelerden tevsik edilmiş olduğundan, veri sorumlusunun anılan iddialarına ilişkin olarak yargı yoluna başvurabileceği,
Öte yandan, Kanun’un 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarih ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağının düzenlendiği, Türk Ceza Kanunu’nun 135, 136 ve 137’nci maddelerinde hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçuna ilişkin yaptırımların hükme bağlandığı ve böyle bir durumun varlığında kişisel verilere hangi yollarla ulaşıldığının tespiti ile bu kapsamda gerekli hukuksal işlemlerin tesisini teminen ilgili kişi tarafından konuya ilişkin yargı yoluna başvurulmasının mümkün olduğu

değerlendirmelerinden hareketle;

İlgili kişinin, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında baygın olduğu sırada çekilen görsellerinin açık rızası alınmaksızın sosyal medya hesabında paylaşıldığı iddiasına ilişkin olarak, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı dikkate alındığında; Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı kanaatine varılması nedeniyle veri sorumlusu hastane hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine,
Kişisel verilerini rızası olmaksızın şahsi sosyal medya hesabında paylaşmak suretiyle işleyen doktor hakkında Türk Ceza Kanunu’nun ilgili madde hükümleri kapsamında gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurabileceği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

22.Haziran.2022: “Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi"

Karar Tarihi	:	22/06/2022
Karar No	:	2022/594
Konu Özeti	:	Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu bir özel sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi

Kuruma intikal eden dilekçelerde özetle;

İlgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı,
Testin yapılması sırasında ilgili kişilerin iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı,
Konu ile ilgili olarak yapılan başvurulara istinaden veri sorumlusu tarafından ilgili kişilere verilen cevapta ilgili kişilerin, çalıştıkları kurumun işvereni olarak bildirdikleri üçüncü kişi ile birlikte laboratuvar birimine gelerek bağımlılık yapıcı madde taraması yaptırmak istediklerini beyan ettikleri, her hastaya yapıldığı gibi kayıt aşamasında T.C. kimlik numarası, doğum tarihi, telefon numarası ve sonucun bildirileceği e-posta adresinin istenerek kayıt işlemlerinin yapıldığı, bahsi geçen hastaların ödemesinin beraber geldikleri işverenleri tarafından yapıldığı, hastaların yanında duyabilecekleri şekilde ve kameraların önünde kendi rızaları ile sözlü olarak onay alındıktan sonra işverene ait e-posta adresinin, sonuçların gönderilmesi için kayıtlara işlendiği ve ilgili kişilerin bu duruma hiçbir itirazının olmadığı, kişisel verilerin işlenmesindeki amacın tüm sağlık kuruluşlarında olduğu gibi kişiye özel bir kayıt oluşturmak ve çalışan test sonuçlarını raporlamak olduğunun beyan edildiği,
İlgili kişilerin diğer arkadaşlarından öğrendikleri şekliyle, test sonrasında şikâyette belirtilen üçüncü kişinin sonuçların kendisine gönderilmesini istediğini ve kayıt alan kişinin de hiçbir açık rıza beyanı almaya gerek duymaksızın verilen bilgiyi kayda aldığı,
Her ne kadar veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında ilgili kişilerin işvereni olduğu belirtilse de söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği

ifade edilerek gereğinin yapılması talep edilmiştir.

İlgili kişilerin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

İlgili kişilerin bağımlılık yapıcı madde tarama testi yaptırmak için şikâyette belirtilen üçüncü kişi ile birlikte kliniğe başvurduğu, bunun ardından standart hasta kayıt kabul prosedürü gereği kayıt sürecinin başlatıldığı,
İlgili kişilerden alınan bilgiler çerçevesinde kayıt oluşturularak işlemin başlatıldığı, tüm bilgilerin ilgili kişilerin açık beyanı üzerine kayıt altına alındığı, işlem ödemesinin anılan üçüncü kişi tarafından yapılacağının beyan edildiği, ilgili kişiler tarafından söz konusu testlerin rıza dışında yaptırıldığına ilişkin bir geri bildirimde bulunulmadığı, ödeme alınarak ve faturası ilgili adına düzenlenerek test sürecinin başlatıldığı,
Laboratuvar işleyişinde ilgili kişilerin beyan ettiği adres, telefon ve e-posta adresi gibi bilgiler iletişim adresi kabul edilerek tüm bildirimlerin anılan adrese yapıldığı, ilgili kişilerin kayıt esnasında kendi rızasıyla üçüncü kişiye ait e-posta adresini verdiği,
İlgili kişilerin veri sorumlusu hakkında somut olayla ilgili açtığı manevi tazminat davasının devam ettiği,
Sağlık hizmeti sunucusunun banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerini duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirleri almakla; tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulamakla ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirleri almakla yükümlü olduğu,
Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, KVKK ilkelerine aykırılık teşkil etmeyecek şekilde, bilginin, mümkün olduğunca sade şekilde, tereddüt ve şüpheye yer verilmeden, hastanın sosyal ve kültürel düzeyine uygun olarak anlayabileceği şekilde verildiği,
Hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının-yakınlarının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla yerine getirildiği, bilgilendirmenin uygun ortamda ve hastanın mahremiyeti korunarak yapıldığı

hususları bildirilmiştir.

Bahse konu inceleme sürecinde ilgili sağlık kuruluşu tarafından da söz konusu uyuşturucu testlerinin sonuçlarının üçüncü kişiye ait e-posta adresine gönderildiği ifade edildiğinden, Kişisel Verileri Koruma Kurulu tarafından ilgili kişilerin işvereninden, anılan üçüncü kişinin şirketteki konumu hakkında bilgi temin edilmesine karar verilmiştir. Karara istinaden işveren tarafından gönderilen cevabi yazıda özetle;

İşveren bünyesinde çalışan personelden edinilen bilgi ile mağazanın alt katındaki depodan koku geldiğinin öğrenildiği, bu kokunun uyuşturucu dumanı kokusu olabileceğinin anılan üçüncü kişi personele iletildiği, bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı,
İki personelin yaşlarından, bir personelin ise durumu bildiren kişi olmasından ötürü test sürecinden hariç tutulduğu, diğer personelin gönüllü olarak uyuşturucu testi yaptırdığı, sonrasında test yapılacak beş personelin klinik testleri için randevu alındığı, beş personelden birinin hastalığını gerekçe göstererek test yaptırmadığı, kalan personelin ise ilgili testi yaptırdığı,
Bahsi geçen personel test verdikten sonra sağlık kuruluşunda görevli bir kişinin test sonuçlarının hangi e-posta adresine gönderileceğini sorduğu, anılan üçüncü kişinin diğer personele test sonuçlarının onların e-posta adresine mi yoksa kendi e-posta adresine mi gönderilmesi istediklerini sorduğu, bunun üzerine personelin, test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri, bu sebeple anılan üçüncü kişinin e-posta adresini klinikteki görevliye verdiği,
Test sonuçlarının gönderildiği tarihte veri sorumlusu tarafından test veren personele gösterildiği ve sonrasında test sonuçlarını içeren e-postanın anılan üçüncü kişi tarafından derhal silindiği,
Kanun’a aykırı bir durumun söz konusu olmadığı, personelin ilgili işlemi kendi rızaları ile yaptığı, ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı, üçüncü kişinin e-postasının kliniğe işveren tarafından bildirilmediği, işverenin olayla ilgili herhangi bir hukuki ve cezai sorumluluğunun bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 22/06/2022 tarih ve 2022/594 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
Kişisel veri işleme faaliyeti bakımından açık rızanın hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden biri olduğu, açık rızanın ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağladığı ve rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, açık rızanın alındığına dair ispat yükünün ise veri sorumlusuna ait olduğu,
Kanun’un 6’ncı maddesinin (4) numaralı fıkrası ile 22’nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"in belirlendiği,
Şikâyete konu iddialara ilişkin olarak, veri sorumlusundan ve işverenden alınan cevap yazılarının incelenmesi neticesinde, “ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı” şeklindeki açıklamadan anlaşıldığı üzere veri sorumlusu tarafından ilgili kişiye ait özel nitelikli kişisel veri niteliğindeki test sonuçlarının gönderildiği üçüncü kişinin, Kanun’un 6’ncı maddesi kapsamında işveren bünyesinde çalışanların kişisel sağlık verilerini ilgili kişilerin açık rızası olmaksızın işleyebilecek sır saklama yükümlülüğü altında bulunan iş yeri hekimi olmadığı,
Öte yandan, veri sorumlusu sağlık kuruluşu tarafından Kuruma intikal ettirilen cevabî yazıda belirtildiği üzere anılan üçüncü kişinin işveren olduğu düşünülerek söz konusu özel nitelikli kişisel verilerin bahsi geçen kişinin e-posta adresine gönderildiği dikkate alındığında veri sorumlusunun ilgili kişilere ait özel nitelikli kişisel verileri göndereceği e-posta adresinin Kanun kapsamında sır saklama yükümlülüğü altında bulunan iş yeri hekimine ait olup olmadığını tespit etmeden gönderdiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanlarının bulunduğu ifade edilse de Kuruma söz konusu hususu kanıtlayıcı mahiyette herhangi bir bilgi ya da belge iletilmediği,
Bu kapsamda, veri sorumlusu sağlık kuruluşunun, ilgili kişilerin sağlık verilerini üçüncü kişi ile paylaşması sureti ile gerçekleştirilen veri işleme faaliyetinin Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın gerçekleştirdiği dikkate alındığında Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerini ihlal ederek kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı

değerlendirmelerinden hareketle

İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600'e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.

02.Haziran.2022: “İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi"

Karar Tarihi	:	02/06/2022
Karar No	:	2022/545
Konu Özeti	:	İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi

İlgili kişinin şikâyetinde özetle;

Bir elektronik eşya mağazasından satın almak için baktığı ürünün ödeme seçeneklerini sorduğu sırada mağaza görevlisince veri sorumlusu banka tarafından verilebilecek kredi vasıtasıyla taksit yapılabildiği bilgisinin ilgili kişiye iletildiği,
Bunun üzerine ilgili kişinin alabileceği kredi tutarını öğrenebilmek adına T.C. kimlik numarasını yazarak belirtilen numaraya SMS gönderdiği, veri sorumlusu banka tarafından verilen SMS yanıtında ilgili kişinin kredi limitinin belirtildiği,
İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği,
Bu çerçevede veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği, ilgili kişinin başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken ilgili kişiden açık rıza alınmadığı

belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

İlgili kişinin elektronik eşya mağazasında bulunduğu sırada almış olduğu bilgiye istinaden, bankalarına ait numaraya T.C. kimlik numarası bilgisini göndererek kredi başvurusunda bulunduğu, kayıtlarında daha önceden kendisine ait hiçbir bilgi ve belge olmadığı,
Kredi sürecini SMS göndermek suretiyle ilgili kişinin başlattığı, talep ettiği bankacılık ilişkisi kurulmadan önce hukukî ve ticari risk analizleri yapabilmek, bankacılık mevzuatına göre bir risk grubuna ait olup olmadığını tespit edebilmek, müşteri ilişkilerini yürütebilmek için kara paranın aklanmasına yönelik düzenlemeler dâhil fakat bunlarla sınırlı olmamak üzere talebi için gerekli olan kişisel verilerinin işlenmesine ilişkin bilgilendirme metninin SMS yoluyla iletildiği,
Veri sorumlusuna SMS göndermesinden sonra ilgili kişinin ilk olarak talebini değerlendiren ve sonrasında da limitini belirleyen kredi sürecinin başladığı,
Bu sürecin karar ağacı formatında olduğu ve her bir kademede başvuru sahibinin kredibilitesini ölçmeye yarayan, saniyeler içerisinde ve otomatik çalışan, öngörüsel modellere dayanarak oluşturulan kredi politika kurallarından oluştuğu, dolandırıcılık ihtimalini ve suistimali önlemek amacıyla başvuran kişiye ait telefon numarası ile SMS içeriğinde kimlik numarasının eşleşip eşleşmediğinin kontrol edildiği, bu işlemin ilgili kişiye gönderilen bilgilendirme metninde de belirtildiği üzere, kişinin SMS gönderdiği telefon numarasının ve SMS içeriğinde yer alan kimlik numarasının Kredi Kayıt Bürosu’na aktarılması ile gerçekleştirildiği, akabinde başvuru sahibine ait kimlik numarasının kredi sorgulaması amacıyla Türkiye Bankalar Birliği Risk Merkezi’ne iletildiği,
Bankanın kredi politikalarına uygun olan başvurular için ise kredi değerlendirme sistemi sayesinde söz konusu veriler ile her bir başvurunun risk seviyesi ve ödeyebileceği taksit tutarına göre kredinin ortalama 2,5 saniye içerisinde otomatik olarak hesaplandığı ve bunu müteakip başvurunun gerçekleştirildiği telefon numarasına sonucun iletildiği,
Açıklanan nedenlerle ilgili kişinin iddialarının gerçeği yansıtmadığı

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/06/2022 tarihli ve 2022/545 sayılı Kararı ile;

“İlgili Kişiye Yapılan Aydınlatmanın Hukuka Uygunluğu" konusunda:

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Veri sorumlusunun aydınlatma yükümlülüğü”nü düzenleyen 10’uncu maddesinin, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Aydınlatma Tebliği) “Usul ve esaslar”ı düzenleyen 5’inci maddesinde yer alan (a) bendinde “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.” hükmünün, (e) bendinde “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün, (f) bendinde “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün, (g) bendinde “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün, (ğ) bendinde “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün, (h) bendinde “Kanun’un 10’uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün, (ı) bendi ise “Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.” hükmünün yer aldığı,
Aydınlatma yükümlülüğünün amacının ilgili kişilerin kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hâkimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün şeffaflık ilkesinin bir gereği olduğu, şeffaflığın şartının ilgili kişinin anlaşılabilir bir şekilde bilgilendiriliyor olması olduğu, aydınlatma metinlerinin her veri işleme faaliyetini kapsayacak şekilde yazılması halinde bu metinlerin çok uzun ve karmaşık olması durumunun ortaya çıktığı, bu kapsamda çok aşamalı ve katmanlı, farklı hedef gruplara yönelik hazırlanmış ayrı aydınlatma metinlerinin bir çözüm alternatifi olarak görülebildiği, bu maksatla Kanun’un ilgili kişilere yönelik bir aydınlatmanın taşıması gereken asgari unsurları gösterdiği, “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği,
İlgili kişinin bahse konu numaraya SMS göndermek suretiyle kredi hesaplanması sürecini başlattığı, bu süreç devam ederken ilgili kişiye öncelikle kişisel verilerinin korunması ile ilgili olarak bir SMS gönderildiği ve bu SMS’te veri sorumlusunun aydınlatma metnine ulaşılmasını sağlayan bir bağlantının yer aldığı, sonrasında gelen SMS’te ise ilgili kişiye ait çekilebilecek kredi tutarının yer aldığının görüldüğü, şu hâlde ilgili kişinin iddiasının aksine veri sorumlusunun ilgili kişinin iradesiyle başlattığı veri işleme sürecini tamamlamadan evvel ilgili kişiye konuya ilişkin aydınlatmada bulunduğunun görüldüğü, veri sorumlusunun ilgili kişinin başvuru sürecini sona erdirmesinden önce ilgili kişiye aydınlatmada bulunması gerektiği, nitekim Aydınlatma Tebliği’nin “Aydınlatma yükümlülüğünün kapsamı” başlığını haiz 4’üncü maddesinde yer alan “Kanunun 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.” şeklindeki hüküm uyarınca kişisel verilerin işlenmesi sırasında ilgili kişilere bilgilendirme yapılmasının hukuka uygun olduğu,
Veri sorumlusunun aydınlatma metni incelendiğinde; Kanun’un 10’uncu maddesinde gösterilen asgari unsurları karşıladığı görülmekle birlikte Aydınlatma Tebliği’ne birtakım aykırılıklar içerdiğinin tespit edildiği, geçerli ve hukuka uygun bir aydınlatmanın gerçekleştirilebilmesinin ilgili kişinin en azından kategorik olarak kişisel verileri üzerindeki hâkimiyetini yitirmemesine yani bu verilerin akıbetinden genel şekliyle haberdar olabilmesine bağlı olduğu, bunun da ancak işlenen veri kategorileri, bu kategorilerin hangi verileri içerdikleri, bu veri kategorilerinin işlenme/aktarılma amaçları ve hukukî mesnetleri arasındaki illiyet bağlarının veri sorumlusunca sunulan aydınlatma metninde gösterilmesi ile mümkün olabildiği, öte yandan şayet bir veri aktarımı yapılıyorsa aktarılan veri kategorilerinin hangi alıcı gruplarına aktarıldığının da aydınlatma metinlerinde sarih olarak ortaya konulmasının gerektiği, alıcı gruplarının; resmî merciler, iş ortakları vb. şekillerde sınıflandırılması mümkün olmakla birlikte bu alıcı gruplarının içerdiği üçüncü kişi ya da kurum/kuruluşların da talep edildiği takdirde ilgili kişilerin sorularına yanıt verilebilmesini teminen veri sorumlusu nezdinde kayıtlı tutulmasının da büyük önem arz ettiği,
Veri sorumlusunun aydınlatma metninde; hangi veri kategorisinin, hangi amaç ve hangi hukuka uygunluk sebebi kapsamında işlendiği arasında bir illiyet bağı kurulmadığı ve hangi veri kategorisinin hangi alıcı gruplarına hangi amaç ve hukuka uygunluk sebebi kapsamında iletildiğine yer verilmediği, bu bilgilerin oluşturulmasının ve kamuoyuna aydınlatma metinleri vasıtasıyla sunulmasının veri sorumluları için bir külfet oluşturmadığı,
Veri sorumluları siciline (VERBİS) kayıt yaptırmakla yükümlü olan veri sorumlusunun Veri Sorumluları Sicili Hakkında Yönetmelik’in “İlke, usul ve esaslar”ı düzenleyen 5’inci maddesinin (1) numaralı fıkrasının (ç) bedinde yer alan “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü doğrultusunda kişisel veri işleme envanteri hazırlamış olması ve hâlihazırda aydınlatma metninde yer alan eksiklikleri bu envanterde yer alan bilgiler doğrultusunda gidermiş olması gerekeceği,
Bu minvalde, veri sorumlusunun ilgili kişiye yönelik aydınlatmada bulunduğu, bu aydınlatmanın Kanun’un 10’uncu maddesi uyarınca hukuken geçerli ve muteber olduğu, ancak içerisinde Aydınlatma Tebliği’nde düzenlenen detay konularda birtakım eksiklikler bulunduğu tespitinin yapıldığı,

“İlgili Kişinin Açık Rızası Olmaksızın Kişisel Verilerinin İşlenip İşlenmediği" konusunda:

Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı,

“İlgili Kişiye Usulüne Uygun Bir Yanıt Verilmemesi” konusunda:

İlgili kişinin veri sorumlusuna yaptığı başvuruda; hangi kişisel verilerinin, hangi amaç ve hukukî sebeplere dayanılarak işlendiği, hangi tarihlerde işlenmeye başlandığı ve bu verilerin kimlerden temin edildiği, bu verilerin üçüncü kişilere aktarılıp aktarılmadığı, veri işlenmesi sırasında neden aydınlatma yükümlülüğünün yerine getirilmediği, ilgili kişinin kredi limiti hesaplanırken hangi kişisel verilerine, hangi yöntemler ve kurumlar vasıtasıyla ulaşıldığı, ilgili kişinin kişisel verilerinin işlenmesi hususunda veri sorumlusuna verdiği bir açık rıza bulunup bulunmadığı hususlarında bilgi talep ettiği,
Veri sorumlusunun ise verdiği yanıt içerisinde; ilgili kişinin kişisel verilerinin ilk olarak kendisi tarafından SMS gönderildiği tarihte işlendiği, bu SMS’te yer alan T.C. kimlik numarasının hukuki ve ticari risk analizleri yapabilmek amacıyla bankacılık mevzuatı uyarınca temin edildiği, ilgili kişiye SMS vasıtasıyla kademeli aydınlatma yapıldığı, ilgili kişinin verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan şartlar, 5411 sayılı Bankacılık Kanunu ve MASAK mevzuatı kapsamında işlendiği hususlarına yer verildiği, ayrıca ilgili kişinin bilgilerinin aktarıldığı kurum ve kuruluşlar hakkında bilgi verildiğinin görüldüğü,
Bu kapsamda, ilgili kişiye hukuken muteber ve geçerli bir yanıt verilmiş ise de bu yanıtın aydınlatma yükümlülüğü ile ilgili yukarıda arz edilen detaylardan yoksun olduğunun ve bu haliyle ilgili kişinin taleplerine yönelik tam ve eksiksiz bir yanıt sağlamaktan uzak olduğunun görüldüğü, örneğin veri sorumlusu ilgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında gösterilen şartlar dâhilinde işlendiğini ifade etmekte ise de bu verilerin hangi veriler olduğunun ve ilgili maddede gösterilen hangi şarta dayalı olarak işlendiğinin meçhul olduğu, bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlâl ettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

İlgili kişiye Kanun’un 10’uncu maddesi uyarınca hukuken geçerli bir şekilde aydınlatmada bulunulduğu fakat bu aydınlatmada Aydınlatma Tebliği ile düzenlenen bazı hususlarda giderilmesi gereken eksiklikler bulunduğu dikkate alındığında, aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına

karar verilmiştir.

18.Mayıs.2022: “Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi"

Karar Tarihi	:	18/05/2022
Karar No	:	2022/491
Konu Özeti	:	Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi

İlgili kişinin şikâyetinde özetle; veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sayfasında paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği, ilgili kişinin fotoğrafların kaldırılması talebiyle veri sorumlusuna başvuruda bulunmasına rağmen fotoğrafların yayınlanmasına devam edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

İlgili kişinin, tarafları ile fotomodellik yapmayı üstlendiği bir eser sözleşmesinin mevcut olduğu, bu sözleşmenin doğası gereği ilgili kişinin fotoğraflarının çekildiği ve tanıtım amacıyla sergilenen ürünler stoklarda bitene kadar bu fotoğrafların sosyal medya hesaplarında paylaşıldığı,
İlgili kişinin bu verilerinin paylaşılmasına açık rızasının olduğu, ilgili kişinin fotoğraflarının belirsiz süreli bir sözleşmesi kapsamında çekildiği, ilgili kişinin üzerinde taşıdığı ürünleri iyi görünecek şekilde taşımayı ve fotoğraflanmayı kabul ve taahhüt ettiği, fotoğraflarının kullanılması karşılığında ilgili kişiye ödeme yapıldığı,
Açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği ve diğer mevzuattaki düzenlemeler saklı kalmak üzere açık rızanın yazılı şekilde alınmasına gerek olmadığı, ilgili kişinin rızası olmaksızın modellik yaparak fotoğraflarının çekilmesinin mümkün olmadığı,
İlgili kişinin bir eser sahibi olması sebebiyle kendisine yapılan ödemeler ile eserin umuma arz edilmesine ve yayımlanmasına yönelik haklarının devredildiği,
Yapılan bu işlemin hukuki ilişkiden kaynaklı olarak yapıldığı, fotoğrafların yalnızca ürünlerin tanıtımı amacıyla sınırlı bir zaman diliminde kullanıldığı ve stokların sona ermesi ile fotoğrafların ilgili mecralardan kaldırıldığı,
İlgili kişinin Kanun kapsamındaki başvurusunda modellik yaptığı fotoğrafların kaldırılması talebinin bulunmadığı, ihtarname ile fotoğrafların kullanımı için ilgili kişinin tek taraflı olarak belirlediği miktarın ödenmesinin talep edildiği,
İlgili kişinin fotoğraflarının hukuki ve ticari ilişki kapsamında açık rızasıyla çekildiği ve paylaşıldığı, ilgili kişi ile yazılı bir fotomodellik sözleşmesinin akdedilmediği ve taraflar arasında sözlü olarak devam eden uzun süreli ticari ilişkinin, karşılıklı güven esasına dayanan bir çalışma modelinin mevcut olduğu

hususları belirtilmiş ve yazıları ekinde Kanun kapsamında kendilerine yapılan başvuruya ve verilen yanıta, ayrıca muhtelif tarihlerde ilgili kişinin hesabına gönderilen paranın transferine ilişkin dekontlara yer verildiği görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2022 tarihli ve 2022/491 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” başlıklı 7’inci maddesinin (1) numaralı fıkrasının “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünü haiz olduğu,
Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde de herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun hüküm altına alındığı,
Somut olayda, ilgili kişi ile veri sorumlusu arasında iş ilişkisinden doğan yazılı olmayan bir sözleşmenin bulunduğu ve bu sözleşme kapsamında ilgili kişinin veri sorumlusu nezdinde fotomodellik yaptığı, söz konusu iş ilişkisinin sona ermesi nedeniyle ilgili kişinin veri sorumlusunun internet adresinde yayınlanan fotoğraflarının kaldırılmasını talep ettiği, ilgili kişinin fotomodellik yaptığı kıyafetlerin stoklarının sona ermesinden sonra söz konusu fotoğrafların kaldırıldığının anlaşıldığı,
Diğer yandan, ilgili kişinin şikâyet dilekçesinde yer verdiği linklerin incelenmesinden her bir linkin veri sorumlusu şirketin internet sitesinin ana sayfasına yönlendirildiğinin, dolayısıyla söz konusu linklerin açılmadığının görüldüğü,
Bu kapsamda, ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı çerçevesinde internet sitesinde yayınlanmak suretiyle işlendiği kanaatine varıldığı

değerlendirmelerinden hareketle;

İlgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi çerçevesinde internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

18.Mayıs.2022: “2022/489 sayılı Karar Özeti"

Karar Tarihi	:	18/05/2022
Karar No	:	2022/489
Konu Özeti	:	Kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerin Birliğin vekili tayin edilen avukat ile paylaşılması ve müteakiben söz konusu belgelerin avukat tarafından Baroya aktarılması

İlgili kişinin şikâyetlerinde özetle;

Kendisinin avukatlık mesleğini icra ettiği, kamu tüzel kişiliğini haiz Birlik ile arasındaki hukuki danışmanlık ve avukatlık sözleşmesinin fesih görüşmeleri sırasında kendisini Birlik vekili olarak tanıtan bir avukatın ilgili kişiyi aradığı ve sözleşmeyi feshetmesini istediği,
Bunun üzerine Birlik ile konu hakkındaki görüşmeleri devam ederken kendisini Birlik vekili gibi tanıttığı ve avukatlık meslek etiğine uygun olmayacak şekilde konuşması nedeniyle hakkında disiplin soruşturması yapılmasını teminen ilgili kişinin söz konusu avukatı Baroya şikâyet ettiği
Avukatın Baro Başkanlığına sunduğu savunması ile ilgisi olmayan, sadece Birlikte asılları bulunan ve danışmanlık sözleşmesi kapsamında Birliğe kesilen serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine savunma dilekçesi ekinde yer verdiği, bunun üzerine ilgili kişinin söz konusu avukata ve Birliğe başvuruda bulunduğu ancak yanıt alamadığı

belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen Birliğin ve avukatın ayrı ayrı savunması talep edilmiş olup veri sorumlusu Birliğin cevabi yazısında özetle;

İlgili kişinin kurumlarına yapmış olduğu başvuruya cevap verilmediği hususunun gerçeği yansıtmadığı, ilgili kişiye ihtar ile cevap verildiği,
Birlik Başkanlığı ile danışmanlık sözleşmesi kapsamında kesilen ve ilgili kişinin kişisel verilerini içeren stopaj ödeme listesinin fotokopilerinin Avukatlık Kanunu’na dayanılarak şikâyet edilen avukat ile paylaşıldığı,
Söz konusu dönemde kurum vekili olarak görev yapan başka bir avukat tarafından verilen yetki belgesi kapsamında şikâyet edilen avukatın da kurum vekili olarak görevini ifa ettiği, bu hususun Avukatlık Kanunu’nun 56’ncı maddesinin (5) numaralı fıkrasında açıkça düzenlendiği, Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 18’inci maddesinde “Avukatlar veya avukatlık ortaklıkları, başkasını tevkil etme yetkisini taşıdıkları tüm vekaletnameleri kapsayacak şekilde tek bir genel ya da ayrı ayrı özel yetki belgesi düzenleyerek; bir başka avukatı veya avukatlık ortaklığını müvekkilleri adına vekil tayin edebilirler. Vekaletname hükmünde olan bu yetki belgesi; tüm yargı mercileri ile resmi ve özel kişi, kurum ve kuruluşlar için hukuken vekaletname işlev ve etkisi taşır.” hükmüne yer verildiği,
İlgili kişi tarafından şikâyet edilen avukat aleyhine Baro Başkanlığına yapılan şikâyet doğrultusunda serbest meslek makbuzunun ve stopaj ödeme listesinin savunmaların delili mahiyetinde sunulduğu, Türk Borçlar Kanunu’nun 502’nci maddesi ve Avukatlık Kanunu hükümleri kapsamında şikâyet edilen avukat ile kurumları arasında vekalet sözleşmesi kurulduğu, bu kapsamda söz konusu belgelerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki açık rıza hususunun istinası niteliğini haiz olduğu

belirtilmiştir.

Şikâyete istinaden savunması istenen avukatın cevabi yazısında ise özetle;

İlgili kişinin başvurusuna Birlik tarafından yanıt verildiği, ilgili kişinin söz konusu başvuru konusuna ilişkin bilgilendirildiği için tekrar aynı sorulara cevap verilmesinde hukuki bir yararın bulunmadığı,
Avukatlık Kanunu kapsamında hazırlanmış olan “yetki belgesi” ile Birliği temsil yetkisinin bulunduğu, yapılan tüm işlemlerin bu yetki belgesine dayanılarak gerçekleştirildiği, ilgili belge ve bilgilerin iddia edildiği gibi üçüncü kişilerle paylaşılmasının söz konusu olmadığı,
İlgili kişi ile müvekkili Birlik arasında avukatlık sözleşmesine dayalı bir ilişkinin bulunduğu dönemde ilgili kişinin Birliği stopajlı faturalar keserek zarara uğrattığı, bu kapsamda detaylı bir inceleme yapılması amacıyla şikâyete konu bilgi ve belge fotokopilerinin fiziki dosya şeklinde tarafına verildiği, bu süreçte ilgili kişi tarafından Baroya asılsız iddialara dayanan bir şikâyette bulunulduğu, bu çerçevede savunma hakkını kullanmak ve iddialarını desteklemek için zaruri olması nedeniyle söz konusu stopaj listesi ve makbuz örneklerinin savunma dilekçesine eklendiği,
Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) ve (e) bentleri ile 28’inci maddesinin (2) numaralı fıkrasının (c) bendi göz önüne alındığında söz konusu bilgi ve belgelerin savunmaya dayanak olarak Baro’ya sunulmasının Kanun hükümlerine aykırılık oluşturmadığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2022 tarihli ve 2022/489 sayılı Kararı ile;

Kanun’un 3’üncü maddesinde “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı, veri sorumlusunun veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği,
Genel Bütçe Kapsamındaki Kamu İdareleri ve Özel Bütçeli İdarelerde Hukuk Hizmetlerinin Yürütülmesine İlişkin Kanun Hükmünde Kararname’nin “Muhakemat hizmeti temini” başlıklı 5’inci maddesinin (3) numaralı fıkrasının “Birinci ve ikinci fıkraya göre muhakemat hizmetlerinin temin edilememesi veya özel uzmanlık gerektirdiği Cumhurbaşkanlığında Cumhurbaşkanı veya Cumhurbaşkanlığı İdari İşler Başkanının, bakanlıklarda ilgili bakanın onayı ile belirlenen hallerde muhakemat hizmetlerini yürütmek üzere Cumhurbaşkanı kararıyla belirlenen usul ve esaslar çerçevesinde, 4/1/2002 tarihli ve 4734 sayılı Kamu İhale Kanununun 22 nci maddesine göre doğrudan temin usulüyle serbest avukatlardan veya avukatlık ortaklıklarından hizmet satın alınabilir.” hükmünü haiz olduğu,
Serbest Avukatlardan Hizmet Satın Alınmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 4’üncü maddesinin (1) numaralı fıkrasında ise “İdareler, muhakemat hizmetlerini kendi hukuk birimlerinden, bakanlıklarından veya bağlı kuruluşlarından ve Maliye Bakanlığından temin edemediği ya da hizmetin özel uzmanlık gerektirdiği ilgili bakan onayı ile belirlendiği hallerde, serbest avukatlardan hizmet satın alabilir.” hükmüne yer verildiği,
Öte yandan Avukatlık Kanunu’nun 56’ncı maddesinin (5) numaralı fıkrasında “Avukatlar veya avukatlık ortaklığı başkasını tevkil etme yetkisini haiz oldukları bütün vekâletnamelerini kapsayacak şekilde bir başka avukata veya avukatlık ortaklığına vekâletname yerine geçen yetki belgesi verebilir. Bu yetki belgesi vekâletname hükmündedir.” hükmüne yer verildiği, Avukatlık Kanunu Yönetmeliği’nin 18’inci maddesinin (2) numaralı fıkrasında “Avukatlar veya avukatlık ortaklıkları, başkasını tevkil etme yetkisini taşıdıkları tüm vekaletnameleri kapsayacak şekilde tek bir genel ya da ayrı ayrı özel yetki belgesi düzenleyerek; bir başka avukatı veya avukatlık ortaklığını müvekkilleri adına vekil tayin edebilirler. Vekaletname hükmünde olan bu yetki belgesi; tüm yargı mercileri ile resmi ve özel kişi, kurum ve kuruluşlar için hukuken vekaletname işlev ve etkisi taşır.” hükmünün düzenlendiği,
Somut olayda, ilgili kişinin Birlik ile arasındaki hukuki danışmanlık sözleşmesinin feshedilmesinin ardından Birliğin anlaştığı avukatın düzenlediği yetki belgesi ile şikâyet edilen avukatın da Birliğin vekili konumuna geldiği, şikâyet edilen avukatın Birliğin vekili sıfatıyla ilgili kişiyi aradığı, söz konusu görüşme esnasında yaşanan anlaşmazlık sonucunda ilgili kişinin şikâyete konu avukatı, avukatlık meslek kurallarına aykırı davranışları nedeniyle Baroya şikâyet ettiği, bu olay sonucunda şikâyet edilen avukatın Baroya sunduğu dilekçe ekinde ilgili kişinin kişisel verilerini içeren belgelere de yer verdiği ve söz konusu belgeleri Birlikten edindiği hususları ile ilgili kişinin Birlik ile anılan avukatı ayrı ayrı şikâyet ettiği,
Veri sorumlusunun tespiti kapsamında Birliğin kendi nezdinde bulunan ilgili kişinin kişisel verilerini içeren belgeleri hukuki danışmanlık hizmeti aldığı şikâyet edilen avukat ile paylaşması kapsamında kişisel verilerin işleme amaç ve vasıtasını belirlediğinden hareketle veri sorumlusu sıfatını haiz olduğu, diğer taraftan Birlik ile aralarındaki sözleşme kapsamında işin gereği olarak ilgili kişinin kişisel verilerini içeren şikâyet konusu belgeleri elde ederek daha sonra ilgili kişiyle yaşadığı anlaşmazlık sonrasında söz konusu belgeleri Baroya ileten dolayısıyla kişisel verilerin işlenmesinde amaç ve yöntemi belirleyen şikâyet edilen avukatın da somut olay nezdinde veri sorumlusu sıfatını haiz olduğu,
Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Birliğin ilgili kişinin kişisel verilerini içeren belgeleri, yetki belgesi ile Birliğin vekili tayin edilen şikâyet edilen avukat ile paylaşması kapsamında; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak özel kanun ile taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda hizmet aldıkları şikâyet edilen avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartı çerçevesinde değerlendirildiği,
Veri sorumlusu sıfatını haiz şikâyet edilen avukatın Baroya sunduğu savunma dilekçesi ekinde ilgili kişiye ait kişisel verileri içeren belgelere de yer vermesine ilişkin olarak Birliğin “yetki belgesi” kapsamında temsil yetkisinin bulunduğu, ilgili belge ve bilgilerin iddia edildiği gibi üçüncü kişilerle paylaşılmasının söz konusu olmadığı, savunma hakkını kullanmak ve iddialarını desteklemek için zaruri olması nedeniyle stopaj listesinin ve makbuz örneklerinin ek olarak savunma dilekçesinde yer aldığı beyanlarından hareketle veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığı

değerlendirmelerinden hareketle;

Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına,
Veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığından ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

21.Nisan.2022: “Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması"

Karar Tarihi	:	21/04/2022
Karar No	:	2022/386
Konu Özeti	:	Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması

İlgili kişi tarafından Kuruma iletilen şikâyet dilekçesinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “... Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin işten ayrıldıktan sonra taraflarını zarara uğratmak için çeşitli faaliyetlerde ve tarafları hakkında birtakım haksız şikayetlerde bulunduğu; Kuruma iletilen şikâyetin de bu amacı taşıdığı,
İlgili kişi ile aralarında çeşitli hukuki süreçlerin devam ettiği; İş Mahkemesinde davalarının olduğu ayrıca ilgili kişi hakkında dolandırıcılık, resmî belgede sahtecilik, şirket bilgisi dışında şirket adına para çekmek ve kendi adına usulsüz ödeme yaptırmak ile verilen yetkiyi kötüye kullanmak suçlamaları ile soruşturmaların bulunduğu,
İlgili kişinin, şirketlerinin ticari itibarlarını zedelemeye yönelik faaliyetlerinin olduğu, şirketin sahte kaşesini yaptırarak taraflarına haciz işlemi uygulatmaya çalıştığı konularında İcra Mahkemesinde davalarının olduğu ve şirket lehine sonuçlandığı,
Sosyal paylaşım sitesindeki duyurunun ilgili kişinin şirketin bütün müşterilerine göndermiş olduğu “Kıymetli Musterimiz; Firmamız Mali Olarak Kapanmistir. …. eski yerimize yakin farkli isimle hizmet veren firmayla BAGIMIZ YOKTUR (…..Bey)” şeklindeki gerçek olmayan beyanlar içeren SMS bildirimine karşı doğru ve gerçek durumu açıklamak amacıyla ve ilgili kişinin kendisi veya aile bireyleri için şirket adına müşterilerinden ödeme talep etmesinden dolayı müşterilerinin mağdur olmasını engellemeye yönelik bilgilendirme maksadı ile yapıldığı,
İlgili kişi tarafından yapılan ve gerçeği yansıtmayan açıklamaya karşılık yapılan düzeltme mahiyetindeki söz konusu duyuru haricinde herhangi bir veri girişi yapılmadığı, depolanmadığı, ilgili kişinin müşteriler tarafından tanınmasından dolayı benzer bir durum yaşanmaması için ilgili kişinin sadece adının verildiği,
İlgili kişinin ihtarnamesine aralarında devam eden dava ve soruşturmalar bulunması nedeni ile cevap verilmediği,
Ayrıca ilgili kişi tarafından gönderilen ve gerçeği yansıtmayan mesajlara karşılık bir tedbir olarak sosyal paylaşım sitesinde yayınlanan yazının şikayetçi ile aralarındaki davaların devam etmesi nedeniyle ve herhangi bir zamanda benzer bir durum ile karşı karşıya kalınması halinde doğru bilginin öğrenilmesi adına silinmediği
Duyurunun Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil etmediği, Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesinde kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel kalma şartı ile açıklanabildiği, ceza hukukunda düzenlenen meşru savunma kurumunun da taraflarına bu hakkı verdiği, meşru savunmanın kişinin kendisine veya bir başkasına yönelmiş haksız bir saldırıya karşı o anki durum ve imkanlar çerçevesinde saldırı ile orantılı bir şekilde işlenen bir fiil olduğu

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 21/04/2022 tarihli ve 2022/386 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle Kanun’un 5’inci maddesindeki şartlardan birine dayanılarak işlenmesi gerekmekte olup, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu,
Somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında, şikayete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı, Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
İlgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

07.Nisan.2022: “İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi"

Karar Tarihi	:	07/04/2022
Karar No	:	2022/328
Konu Özeti	:	İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin esasen aynı grup şirketine ait başka bir şirketin çalışanı olduğu ve aynı grup şirketi çatısı altında yer almaları nedeniyle taraflarınca, söz konusu şirket çalışanlarının ücretleri ve çalışma süreleri kapsamında bordrolama hizmeti temin edildiği ve çalışanlara yönelik bordro oluşturma ve izin kullanım süreçlerinin denetlenerek bunların kontrol ve takip edilmesi hizmeti sunulduğu,
COVID-19 pandemisinden dolayı alınan tedbirler kapsamında ücretsiz izin kullanımının iş yerinde zorunlu hale gelmesi nedeniyle istihdamın sonlanmaması ve iş yeri ile personel sağlığının tehlikeye düşmemesi adına, ilgili kişinin, asıl işvereni olan şirket tarafından ücretsiz izne çıkarıldığı ve bu kapsamda ilgili kişinin ad ve soyadı, T.C. kimlik numarası, adres bilgisi ve pandemi nedeniyle ücretsiz izin uygulanmasına dair bilgilerinin ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı,
İlgili kişi ücretsiz izindeyken, izin süresinin uzatılması kararının kendisine ve onun gibi izinde olan diğer işçilere bildirilmesi için kendilerine telefonla ulaşılmaya çalışıldığı, ancak bu yolla ulaşılamayan işçilerin hem iş yerine gelmelerinde sağlık açısından sakınca bulunması hem de taraflarınca grup şirketlerine sunulan personel izin takip hizmetleri dolayısıyla çalışana noter vasıtasıyla bildirim yapılmasının uygun olacağı düşüncesi ile taraflarının avukatına çalışanın ad ve soyadı, T.C. kimlik numarası, adres ve ücretsiz izin durumuna ilişkin bilgiler gönderilerek ücretsiz izin süresinin uzatıldığının ihtar edilmesinin istendiği,
Bildirim yapılacak personel sayısının fazla olması sebebiyle, usul ekonomisi ve noterlikteki işlemlerin en uygun şekilde gerçekleştirilmesi adına avukatları tarafından vekâleten ihtarname düzenlenerek gönderildiği, noterlik nezdinde yapılan işlemlerde, sair bilgilerin ilgili noterliğe sağlanmasının Noterlik Kanunu ve ikincil mevzuattan kaynaklandığı, ihtarname keşide edilebilmesi için keşidecinin ve muhatabın/muhatapların ad ve soyadı ile T.C. kimlik numaralarının noterliğe sunulmasının, tebligatın sağlıklı yapılabilmesi için yine mevzuat gereğince zorunlu olduğu, bu nedenle birden çok muhatabın yer aldığı ihtarname içerisinde muhatapların bilgilerine yer verildiği ve ilgili kişisel verilerin noterlik ile paylaşıldığı,
Yapılan bu işlemin meşru ve açık bir amaca dayalı olduğu, işleme amacı olan ücretsiz izin süresinin takibi ve çalışana bildirim yapılabilmesi amacı ile sınırlı olarak bahse konu verilerin işlendiği, aktarıldığı ve işlendikleri amaçla bağlantılı olmayan bir şekilde kullanılmadığı, veri işleme faaliyetinin ölçülü olduğu ve kişisel verilerin ihtarname keşide edilmesi için noterlik ile paylaşılmasının ilgili kişinin lehine ve izin durumunun bildirilmesine yönelik olduğu,
İlgili kişiye ait kişisel verilerin, bordrolama destek hizmetleri çerçevesinde ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı ve bu aktarımın hukuki dayanağının 6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (f) bendi olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/04/2022 tarih ve 2022/328 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uygun olarak işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
Diğer yandan 1512 sayılı Noterlik Kanunu’nun “Düzenleme Şeklinde Yapılması Zorunlu İşlemler” başlıklı 89’uncu maddesinde; “Niteliği bakımından tapuda işlem yapılmasını gerektiren sözleşme ve vekaletnamelerle, vasiyetname, mülkiyeti muhafaza kaydı ile satış, gayrimenkul satış va’di, vakıf senedi, evlenme mukavelesi, evlat edinme ve tanıma, mirasın taksimi sözleşmesi ve diğer kanunlarda öngörülen sair işlemler bu fasıl hükümlerine göre düzenlenir.” hükmünün yer aldığı ve yine anılan Kanun’un “Onaylama” başlıklı üçüncü bölümünün “Şekil” başlığını taşıyan 90’ıncı maddesinin; “Hukuki işlemlerin altındaki imzanın onaylanması imzayı atan şahsa ait olduğunun bir şerhle belgelendirilmesi şeklinde yapılır. İmzası onaylanan iş kağıdının aslı ilgilisine verilir ve imzalı bir örneği dairede saklanır. Bu örnek harca tabi değildir.” hükmünü haiz olduğu,
Somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğü ve veri sorumlusu tarafından da bu durumun ikrar edildiği,
Senetler düzenleme ve onaylama şeklinde hazırlanabilmekle birlikte söz konusu belgenin noterlik tarafından “onaylama” şeklinde gerçekleştirildiğinin görüldüğü ve ilgili kişinin kişisel verilerine ek olarak yedi çalışanın da kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbirleriyle paylaşıldığının anlaşıldığı,
İlgili kişinin ve diğer yedi çalışanın kimlik ve iletişim verisinin ihtarnamede yer alması suretiyle ilgili noterlikle paylaşılması Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında yer almakla birlikte söz konusu çalışanların kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. gibi bir işlem yapılmaması sebebiyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı ve bu suretle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
Diğer taraftan Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine

karar verilmiştir.

07.Nisan.2022: “İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	07/04/2022
Karar No	:	2022/325
Konu Özeti	:	İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı, bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam ettiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle;

Faturaları gönderen yetkililerden birinin önceden şirketlerinin Trabzon eski baş bayisi olduğu ancak Kasım 2018 itibariyle ilişiklerinin kesildiği,
İlgili kişinin başvurusunu yönelttiği e-posta adreslerinin bir kısmının domain’inin aktif olmadığı ve name server bilgilerinin şirketlerine ait olmadığı,
Sistemlerinde ilgili kişinin e-posta adresine rastlanmadığı, bu nedenle herhangi bir ilişkileri bulunmayan işletme adına düzenlenen ve gerçek kişiye ait herhangi bir bilgi içermemesi nedeniyle kişisel veri ihlali teşkil etmeyecek fatura paylaşımının şirketleri tarafından gerçekleştirilmesinin mümkün olmadığı,
Şirketlerinde herhangi bir üyelik sistemi bulunmadığından, doğrudan e-posta adresi ile başvuru yönteminin açık olmadığı ve ilgili kişi tarafından şirketlerine yapılan usulüne uygun bir başvuru tespit edilemediği

ifade edilmiştir.

Bahse konu cevabi yazının incelenmesinin ardından şirketin daha önce Trabzon baş bayisi olan fatura düzenleyen şahıstan şikâyet konusu olaya ilişkin savunması talep edilmiş olup bu kapsamda bahse konu şahıstan alınan cevabi yazıda özetle;

Taraflarının adı geçen şirketin bayisi iken başka bir pazarlama şirketine devir teslim işlemi yapılmasının ardından yeni şirket ile bayilik sözleşmesi (yetkili satıcı) imzalandığı,
E-fatura sistemine geçildiğinden dolayı, gazete dağıtımı yapan son satıcılardan e-posta ve telefon bilgilerinin güncellenmesinin talep edildiği, bunun üzerine bahsi geçen market tarafından güncellenmesi istenen e-posta adresinin taraflarına, ilgili kişinin adı ile soyadı arasına nokta konulmuş şekliyle (ad.soyad@... şeklinde) iletildiği,
Ancak e-posta adresinin, el yazısıyla yazılarak taraflarına iletilmesi nedeniyle sistem üzerinde e-posta adresi kaydı yapılırken bahse konu adresin, ad ve soyadı arasına nokta işareti konulmadan (adsoyad@... şeklinde) kaydedildiği, söz konusu durumun tamamen yanlışlıkla meydana geldiği,
Şikâyet konusu olaya ilişkin olarak ilgili kişinin taraflarına ulaşmasının ardından sistemleri üzerinde düzeltme işlemi yapıldığı ve ilgili kişiye e-posta gitmesinin önlendiği

belirtilmiştir.

Bahse konu cevabi yazı incelendiğinde, son satıcı olan bayi bilgilerinin kaydedildiği sistemin yeni sözleşme imzalanan pazarlama şirketine ait olduğunun anlaşılması üzerine söz konusu şirketten de savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketlerinin Türkiye’deki yazılı basın sektörünün tamamına hizmet vermek üzere Türkiye genelinde genel müdürlüğe bağlı bölge müdürlükleri ve bölge temsilcilikleri, bölge müdürlüklerine/temsilciliklerine bağlı yetkili satıcılar ile yetkili satıcılara bağlı son satıcılardan oluşan bir dağıtım ağı oluşturduğu,
Şirketleri ile şikâyete konu fatura düzenleyen kişi arasında Temmuz 2018’de dağıtım yetkili satıcı sözleşmesi imzalandığı ve söz konusu kişinin yetkili satıcı olarak atandığı, adına fatura düzenlenen marketin ise söz konusu yetkili satıcının yayınlarının pazarlama, dağıtım ve satışını yaptığı son satıcılardan biri olduğu,
Bu ilişkide şirketlerinin yayınları okuyuculara ulaştıran son satıcılar ile herhangi bir sözleşmesel ilişki içerisine girmediği ve son satıcılara yönelik herhangi bir dağıtım, pazarlama ve satış faaliyeti yürütülmediği, bu faaliyetlerin yürütülmesinin yetkili satıcıların uhdesine bırakıldığı,
Atanan yetkili satıcılar tarafından yayınların Türkiye geneline dağıtımı, pazarlanması ve satış süreçlerinin sağlanması adına dağıtım bilgi sistemi (DBS) kullanıldığı, yetkili satıcıların DBS’ye tanımlanması ile erişim/kullanım hakkı tanındığı, yetkili satıcının yetkili olduğu il dahilinde yer alan son satıcıları kendi inisiyatifinde olmak üzere belirleyip anlaşma yaptığı ve son satıcılardan elde edilen bilgilerin DBS’ye girilmesi suretiyle son satıcı kayıtlarının yapıldığı,
Yetkili satıcıların yalnızca kendileri tarafından kaydedilen bilgilere erişim imkânının bulunduğu, öte yandan son satıcıların DBS’ye herhangi bir erişiminin bulunmadığı,
DBS’ye kaydedilen son satıcı bilgilerinin, şirketlerinden bağımsız bir şekilde ve herhangi bir emir veya talimat almadan ya da şirketleri tarafından herhangi bir yönlendirmede bulunulmadan elde edildiği,
Yetkili satıcıların söz konusu veriler üzerinde tam bir hâkimiyete sahip oldukları, bu bilgileri kendi inisiyatif ve kararları doğrultusunda kendilerine ait süreçler/faaliyetler dahilinde belirledikleri amaçlar ile işledikleri, gerek gördüklerinde diledikleri gibi değiştirebildikleri ve silebildikleri,
Şirketlerinin gerek DBS gerek başka bir vasıtayla yetkili satıcılara ve mevcut ya da potansiyel son satıcılara ilişkin herhangi bir bilgi toplamadığı ve aktarmadığı, dolayısıyla son satıcılara ait herhangi bir iletişim bilgisinin yetkili satıcılara sağlanması gibi bir uygulama bulunmadığı,
DBS’ye girilen bilgilerin doğru, güncel ve eksiksiz olma sorumluluğunun son satıcılar ile doğrudan hukuki/ticari ilişki içerisinde bulunan yetkili satıcılara ait olduğu, zira DBS’ye şirket yetkilileri dışında yalnızca yetkili satıcıların doğrudan erişiminin olduğu ve DBS’nin sistem üzerinden son satıcılara ulaşılarak bilgi doğrulaması yapılmasına imkân sağlayacak bir alt yapıda kurulmadığı; ayrıca şirketlerinin yetkili satıcı sözleşmesi ile ilgili mevzuat hükümlerine uygun faaliyette bulunulması ve bu kapsamda gereken tedbirlerin alınması konusunda yetkili satıcılara sorumluluk yüklediği,
DBS’nin, sunduğu raporlama imkânı ile yetkili satıcının planlama, dağıtım ve iade operasyonlarını yürütebilmesi bakımından kolaylık sağlandığı ancak yetkili satıcının doğrudan DBS üzerinden resmi bir irsaliye/fatura oluşturmasının mümkün olmadığı, DBS’nin irsaliye/faturaya konu satışın icmalini rapor olarak dökümünü ve resmi irsaliye/faturaya ticari içerik oluşturulmasını sağladığı, bu hususların DBS üzerinden yürütülmesi gibi bir zorunluluğun bulunmadığı,
DBS üzerinden doğrudan son satıcılar ile iletişime geçilmesini sağlayan (e-mail gönderimi, fatura gönderimi, irsaliye gönderimi gibi) herhangi bir hizmetin de sunulmadığı, yine herhangi bir üçüncü parti yazılımı (e-fatura, e-arşiv sistemleri, CRM gibi) ile entegrasyonun da bulunmadığı,
Şirketlerinin yetkili satıcıların son satıcılar nezdinde yapmış olduğu planlama, dağıtım ve iade operasyonlarını DBS üzerinden takip ettiği, bu operasyonlar dahilinde sisteme girilen satış bilgileri dikkate alınarak tiraj tahminlerini yaptığı, basım, üretim ve planlama süreçlerini yönettiği,
Somut olayda da yetkili satıcının markete ilişkin kendi fatura süreçleri dahilinde ve veri sorumlusu olarak işlediği e-posta verisini yaptığı hata sonucu e-fatura hizmeti sistemine hatalı şekilde aktardığı, zira son satıcı bilgilerinin kaydedildiği DBS üzerinden yalnızca ön muhasebe işlemlerinin yapılabildiği, e-fatura işlemlerinin üçüncü taraflara ait sistemler üzerinden gerçekleştirildiği, e-posta adresinin DBS’de girilmesi zorunlu bir alan olmadığı, faturalama sistemine hatalı şekilde girilen kaydın, DBS’ye yapılan hatalı kayıttan ve DBS’nin tetiklediği herhangi bir gönderimden kaynaklanmadığı,
Yetkili satıcının, yayınların son satıcılar nezdindeki planlama, dağıtım ve iade operasyonlarını yürütmesi kapsamındaki faturalama süreçlerinde ve dolayısıyla şikâyete konu olay özelinde e-posta verisinin işlenmesi faaliyeti bakımından şirketlerinden bağımsız şekilde ayrı bir veri sorumlusu sıfatı ile hareket ettiği, işlenecek kişisel veriler bakımından emir veya talimat almadığı, e-posta verisinin DBS dahilinde kaydedilmesi gereken zorunlu bir veri dahi olmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 07/04/2022 tarih ve 2022/325 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
İlgili kişi, yetkili satıcının ilk sözleşme imzaladığı pazarlama şirketi hakkında Kurul’a şikâyette bulunmuş olmakla birlikte şikâyete konu faturayı düzenleyen kişi ile Kasım 2018 tarihi itibariyle ilişiklerinin kesildiği ve fatura tarihinin Şubat 2020 olduğu göz önünde bulundurulduğunda söz konusu ilk sözleşme imzalanan pazarlama şirketinin veri sorumlusu sıfatını haiz olmadığı,
İkinci sözleşme imzalanan pazarlama şirketi tarafından oluşturulan dağıtım ağında ilgili bölgelerde dağıtım, pazarlama ve satış hizmetlerinin sunulması adına aralarındaki sözleşme ile fatura gönderimi yapan kişinin yetkili satıcı olarak yetkilendirildiği, satıcının da bu yetkiye istinaden tüketiciye doğrudan satış ve pazarlama yapılması adına son satıcı olan market ile sözleşme kurduğunun anlaşıldığı,
Yetkili satıcı sözleşmesi incelendiğinde yetkili satıcıların; son satıcıların açık isim ve adreslerinin yetkili satıcı dağıtım bilgi sistemine kaydedilmesi, son satıcılara teslim edilen ürünler için fatura düzenlenmesi ve tebliğ edilmesi, dağıtım, pazarlama ve bütün muhasebe işlemlerinde bilgisayar, modem vb. araçları ve ikinci pazarlama şirketinin gerekli gördüğü bilgisayar programlarının kullanılması ve bu bilgilerin tümünün şirketin kullanımına ve denetimine açık tutulması ile yükümlü olduğunun görüldüğü,
Fatura işlemlerinin yetkili satıcı tarafından gerçekleştirildiği belirtilmekle birlikte söz konusu işlemlerin ikinci pazarlama şirketi ile yetkili satıcı aralarındaki sözleşmenin yerine getirilmesi amacıyla gerçekleştirildiği, DBS’ye hangi verilerin girişinin yapılacağına ikinci pazarlama şirketi tarafından karar verildiği, şirketin fatura düzenlenmesi ve tebliğ edilmesi sürecinde hangi teknik ve organizasyonel araçların kullanılacağını yetkili satıcının takdirine bırakmış olmasının yetkili satıcı bakımından ayrı bir veri sorumluluğu doğurmayacağı, yetkili satıcının fatura süreçleri kapsamında gerçekleştirdiği işlemlerde sözleşme maddelerinin dışına çıkarak kendi işleme amaçlarını belirlemediği dikkate alındığında ikinci pazarlama şirketinin veri sorumlusu, yetkili satıcının ise bu şirket adına veri işleyen olarak kişisel veri işlediğinin tespit edildiği,
Son satıcılara yönelik bilgilerin kaydedildiği DBS’ye, veri işleyen tarafından hizmet verdikleri bir marketin e-posta adresinin, sehven ilgili kişinin e-posta adresi olarak kaydedildiği, bu sebeple son satıcı adına düzenlenen faturaların da ilgili kişiye gönderildiği ve bu hususta e-posta adresi düzeltilerek ilgili kişiye fatura gönderiminin durdurulduğunun anlaşıldığı,
Bu çerçevede, veri işleyen tarafından ilgili kişinin e-posta adresinin sehven sisteme kaydedilmesi suretiyle herhangi bir kasıt bulunmaksızın işlendiği ve şikâyete konu durumun düzeltildiği,
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağı

değerlendirmelerinden hareketle;

Şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına,
Son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına

karar verilmiştir.

24.Mart.2022: “İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi"

Karar Tarihi	:	24/03/2022
Karar No	:	2022/277
Konu Özeti	:	İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi

İlgili kişinin şikâyetinde özetle;

İlgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin AVM’deki şubesine teslim ettiği, mağaza yetkililerinin de kulaklığı distribütör firmaya iletilmek üzere kargo şirketine teslim ettiği ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir şahsa teslim edildiği, ilgili kişinin kargonun teslim edildiği üçüncü şahsın kendisine ulaşması üzerine konudan haberdar olduğu,
Elektronik perakende zinciri yetkililerinin konu kapsamında herhangi bir suçlarının olmadığını ve hatanın tamamen kargo şirketinde olduğunu ileri sürdükleri, ancak taşınan kargonun içine ilgili kişiye ait isim, soy isim, cep telefonu numarası, e-posta adresi, ikamet ettiği il ve ilçe ile ödeme yaptığı kredi kartının ilk altı hanesi gibi bilgileri haiz belgelerin koyulduğu,
Karşı tarafın art niyetli olması durumunda rahatça kötüye kullanılabilecek mezkûr bilgilerin konuyla ilgisiz üçüncü bir şahsın eline geçtiği, bu durumda ilgili kişinin maddi-manevi bir zarar görmemesinin tamamen o şahsın insaniyetine ve vicdanına kaldığı, elektronik perakende zinciri yetkililerinin bu durumun tamamen prosedür gereğince yapıldığını beyan ettikleri ve hatanın mesuliyetini kabul etmedikleri

belirtilmiş ve konu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusu sıfatını haiz olduğu anlaşılan elektronik perakende zincirinden savunması istenilmiş olup, verilen cevapta özetle;

Şikâyete konu olayın, ilgili kişinin kulaklığını onarım yapılması için veri sorumlusunun bir AVM’deki şubesine teslim etmesi ve akabinde ürünün ilgili kişinin talebine uygun olarak onarım için veri sorumlusu tarafından distribütör firmaya kargo şirketi aracılığıyla gönderilmesi ile ilgili olduğu,
Kargo içeriğinde, ürünün yanı sıra distribütör firma tarafından kulaklığın onarım işleminin yapılabilmesi için gerekli olan belgelerin bulunduğu,
Kargonun söz konusu onarım işleminin yapılabilmesi için gerekli olan belgelerle birlikte distribütör firmaya gönderiminin sağlanması amacıyla alıcının adres bilgisi ve unvanı doğru bir şekilde girilerek kapalı ve paketlenmiş olarak kargo şirketine 31/08/2021 tarihinde teslim edildiği, bahsi geçen gönderime ilişkin doldurulan kargo formunun ve irsaliyenin görüntüsünün yazıları ekinde sunulduğu,
Bununla birlikte, şikâyete konu kişisel verileri içeren paketin kargo şirketi tarafından veri sorumlusunun kargo üzerinde belirttiği adres dışında üçüncü bir kişiye/farklı bir adreste teslim edildiği, bu durumun kargo şirketinin hatalı teslimat yapması ve adreste bulunan kişinin kendisine ait olmayan hatalı gönderiyi kabul etmesi sebebiyle yaşandığı,
Yaşanan hatalı teslimat durumundan ötürü taraflarının herhangi bir sorumluluğunun bulunmadığı, nitekim Kurumun Veri İşleyen ve Veri Sorumlusu Rehberinde de belirtildiği gibi kargo şirketlerinin sevkiyatı yönetmek için elde ettiği kişisel veriler bakımından 6698 sayılı Kanun uyarınca veri sorumlusu oldukları,
Aynı doğrultuda, Kişisel Verileri Koruma Kurulunun (Kurul) 16/01/2020 tarihli ve 2020/32 sayılı Karar Özeti’nde de ifade edildiği üzere “Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu”nun değerlendirildiği,
İlgili kişinin kişisel verilerinin üçüncü bir kişinin eline geçmesinin kargo şirketinin teslimatı gönderim formunda veri sorumlusu tarafından alıcı olarak gösterilen tarafa yapmaması nedeniyle ortaya çıkan bir durum olduğu, yaşanan olayda taraflarının kişisel verilerin korunması mevzuatını ihlal edecek herhangi bir uygulamada ve işleme faaliyetinde bulunmadığı, dolayısıyla ilgili kişinin iddia ettiği gibi somut olayda gerçekleşen işleme faaliyetine ilişkin herhangi bir hukuka aykırılığın söz konusu olmadığı

ifade edilmiştir.

İlgili kişinin şikâyetinin ve veri sorumlusunun savunmasının Kurul tarafından değerlendirilmesi neticesinde; veri sorumlusu tarafından distribütör firmaya gönderilen kargo içerisinde yer alan ve ilgili kişinin bazı kişisel verilerini içeren belgelerin kargo şirketinin hatalı teslimat yapması nedeniyle gerçekleştiğinin beyan edildiği dikkate alınarak kargo şirketinin savunmasının alınması suretiyle incelemeye devam edilmesine karar verilmiştir.

Bu çerçevede, kargo şirketinin Kuruma ilettiği savunmasında özetle;

Şikâyete konu ************ gönderi numaralı kargonun, taşımasını gerçekleştirmek üzere taraflarına verildiğinin tespit edildiği, varış birimine ulaşan kargonun birim personeli tarafından 02/09/2021 tarihinde dağıtıma çıkarıldığı ve sehven üçüncü bir kişiye teslim edildiği, durumun kargonun teslim edildiği üçüncü kişinin bilgi vermesiyle anlaşıldığı,
Kargo şirketinin akdettiği acentelik sözleşmesi ile taşımacılık faaliyeti kapsamında kendi nam ve hesabına taşıtların yükleme, boşaltma, gümrükleme ve pazarlama işlemleri ile diğer acentelik hizmetlerini acenteleri vasıtasıyla yürüttüğü, nitekim şikâyete konu gönderinin varış biriminin de acentesi olduğu ve olayın yaşandığı tarihte işlemi gerçekleştiren personelin söz konusu acentede istihdam edildiğinin tespit edildiği,
Acentelik ilişkisine istinaden imzalanan acentelik sözleşmesinin ve güvenlik tedbirlerine ilişkin protokollerin yazıları ekinde, kargo şirketi tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği,
Teslime ilişkin bilginin alınmasıyla birlikte varış birimi/acente tarafından derhal teslim edilen adrese gidilerek kargonun alındığı ve aynı gün gönderici müşteri olan veri sorumlusuna iade edildiği, acentenin teslimatta görevli personelinin Eylül 2021’in sonlarında ayrıldığı bildirildiğinden teslimatın detayları hakkında bilgi temin edilemediği,
Kargo şirketinin hizmetlerinin güvenliği konusunda oldukça hassas davrandığı ve insani bir hata olarak yapılan işlemle ilgili kasıtlı bir eyleminin söz konusu olmadığı, kargo dağıtım süreçlerindeki yoğunluk nedeniyle istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için personele gerekli bildirimlerin sıklıkla gerçekleştirildiği,
Acentenin işlemi yapan personeli ile acente arasında akdedilen hizmet sözleşmesinde kişisel verilerin güvenliği, korunması ve gizlilik ile ilgili yükümlülükleri hakkında bilgilendirme yapılmakta olduğu,
Tüm kargo şirketi çalışanlarına ve tedarikçi/acente çalışanlarına kişisel verilerin gizliliği ve bilgi güvenliği alanlarında hizmet öncesi eğitim verildiği, ilgili personele Nisan 2021 içerisinde toplam 32 saatlik hizmet öncesi eğitim, Mayıs 2021 ve Temmuz 2021 içerisinde iki kez olmak üzere birer saatlik Kişisel Verilerin Korunması ve Bilgi Güvenliği eğitimlerinin verildiği,
Gönderi içeriği hakkında kargo şirketinin bilgisinin olup olmadığı sorusuna cevaben, gönderi içeriğinin kayıtlarda yer almadığı ve bu yüzden ilgili kişinin kişisel bilgilerinin gönderi içeriğinde bulunduğuna dair taraflarının hiçbir bilgisinin bulunmadığı,
Gönderici şirket tarafından ilgili kişiye ait kişisel bilgilerin prosedür gereği kargo içeriğine eklendiği beyan edilmekteyse de bu prosedürün dayanağının da açıklanması gerektiği, çünkü kargo içeriğinde bulunduğu belirtilen bilgilerin distribütör firma ile paylaşım yönteminin daha güvenli sistemler üzerinden ilerletilebilmesinin mümkün olduğu, gönderici şirketin kargonun kaybı veya zayiatı risklerini basiretli bir tacir olarak öngörmesi ve önlemlerini almış olması gerektiği,
Diğer taraftan kargonun sehven teslim edildiği ilgisiz üçüncü kişinin ise kendisine ait olmadığını bilmesine ve kargo paketinde alıcı olmadığını görmüş olmasına rağmen paketi hangi sebeple açtığının anlaşılamadığı, söz konusu şahsın kendisine ait olmadığını gördüğü anda kargo paketini açmadan tarafları ile ya da göndericiyle iletişime geçmiş olması durumunda bu olayın meydana gelmeyeceğinin açık olduğu,
Bilgi güvenliği yönetimi, kişisel verilerin korunması ve ilgili yasal mevzuata uyum konularının ISO/IEC 27001 belgesine sahip olan kargo şirketinin öncelikle önem verdiği değer ve politikalar arasında olduğu, müşterilerin kişisel verilerinin korunmasına da bu kapsamda önem verildiği

bildirilmiştir.

Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurularak konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/03/2022 tarihli ve 2022/277 sayılı Kararı ile;

Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verildiği

Bu çerçevede;

İlgili kişinin kargo paketi içerisine konulan belgelerde yer alan bilgilerinin ve distribütör firmaya gönderim de dâhil olmak üzere bu bilgilere ilişkin olarak veri sorumlusu tarafından yürütülen faaliyetlerin Kanun hükümleri karşısındaki durumu:

Somut olayda, ilgili kişiye ait kulaklığın distribütör firma tarafından onarılabilmesi için kargo paketi içine konuldukları ifade edilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusu tarafından distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (a) bendi dikkate alınarak Kanun’un 5’inci maddesinde düzenlenen herhangi bir veri işleme şartına dayanıp dayanmadığı incelendiğinde; anılan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki şartlarına dayandığı,
Öte yandan veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri ile ticari hayatın dinamik yapısı ve şartları dikkate alındığında hayatın olağan akışına uygun olduğunun rahatlıkla savunulabileceği düşünülen söz konusu kişisel veri işleme/aktarım faaliyeti bakımından Kanun’un 4’üncü maddesinde belirtilen genel ilkelere açık bir aykırılığın tespit edilemediği, bununla beraber gelecekte ürün onarımı amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılmasını ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması gerektiği,
İlgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetine dayanan ve ilgili kişinin şikâyetine esas olan olay veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan yükümlülüğü kapsamında ele alındığında ise; veri sorumlusunun ilgili kişinin kişisel verilerini içeren kargo paketini “göndericisi veri sorumlusu, alıcısı ise distribütör firma” olacak şekilde kargo şirketine teslim etmiş olmasından dolayı Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırı herhangi bir eyleminin mevcut olmadığı,

Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden haberdar olan veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan bildirim yükümlülüğü:

Taraflarca dosyaya sunulan bilgi ve belgelerin incelenmesinden “somut olayda ilgili kişiye ait bazı kişisel verilerin hatalı kargo teslimatı yapılmış olması nedeniyle üçüncü bir şahısça elde edilmesinin ilgili kişi tarafından veri sorumlusundan önce öğrenilmiş olmasının kuvvetle muhtemel olduğu, durumu öğrenmesinden sonra ilgili kişinin veri sorumlusuna bir başvuru yaptığı, anılan başvuruyu takiben veri sorumlusunca ilgili kişiye hatalı kargo teslimat işlemi hakkında bilgi verildiği, ardından ilgili kişinin Kanun’un 14’üncü maddesine istinaden Kurula bir şikâyet ilettiği, söz konusu şikâyetin olayın ilgili kişi tarafından öğrenilmesinin üzerinden takriben 74 saat geçmişken Kurumun elektronik şikâyet sistemine intikal ettirilmiş olduğu ve konuya ilişkin şikâyetin ilgili kişi tarafından Kurumun elektronik şikâyet sistemine intikal ettirildiği an itibarıyla veri sorumlusunun olayı öğrenmesinin üzerinden henüz 72 saatin bile geçmemiş olabileceği” hususlarının anlaşıldığı,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklinde hükme yer verildiği,
Kurumun resmî internet sitesinde yayımlanan “Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararına İlişkin Duyuru” başlıklı Kamuoyu Duyurusu’nda ise “(…) Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında (…)” ifadelerine yer verildiği ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasında geçen “en kısa sürede” ibaresinin “72 saat” olarak yorumlanacağı, bu kapsamda veri sorumlusunun ihlal durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunması gerektiğinin bildirildiği,
Somut olayda ilgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinde herhangi bir hukuka aykırılığın bulunmadığı sonucuna ulaşılmış olsa da; kargo paketinin kargo şirketi tarafından hatalı bir şekilde teslim edilmiş olmasından dolayı ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesini müteakip veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca konu hakkında ilgili kişiye ve Kurula bildirimde bulunma yükümlülüğünün doğduğu,
Ancak dosya kapsamındaki olgulara ilişkin yapılan tespit ve değerlendirmeler dikkate alındığında; ilgili kişinin şikâyetine esas olan ve ilgili kişinin dışında “ilgili kişi” sıfatını haiz olabilecek başka bir kişiyi doğrudan etkileme ihtimali de bulunmayan olay hakkında –ilgili kişinin başvurusuna cevaben da olsa- Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede ilgili kişiye bildirimde bulunduğu kabul edilebilecek olan ama Kurula herhangi bir bildirimde bulunmadığı anlaşılan veri sorumlusunca, Kurula bir veri ihlal bildiriminde bulunulmuş olsaydı hatalı kargo teslimat işlemi sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmadan düşünülemeyecek ilave herhangi bir önlemin alınıp alınamayacağı konusunda bir çıkarımda bulunulmasının güç olduğu,
Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen veri ihlal bildirimleri kapsamında Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu, bununla birlikte mezkûr hükmün bir şekilde meydana gelmiş olsalar da ortaya çıkan her türlü veri ihlali vesilesiyle veri sorumlularını mutlak surette cezalandırmak olamayacağı”, “somut olayda ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesinin üzerinden ortalama 72 saat geçmemişken –ilgili kişi tarafından yapılan başvuruya cevaben de olsa- ilgili kişiye bilgi verildiği”, “yaşanan hatalı kargo teslimatından ilgili kişi dışında herhangi bir kişinin etkilenme ihtimalinin bulunmadığı”, “olay sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmaksızın düşünülemeyecek ilave bir önlemin bulunup bulunmadığı konusunun tartışmalı olduğu” ve “konu hakkında veri sorumlusunca Kurula bildirim yapılmamış olmasının ilgili kişinin kişisel verilerinin korunması bağlamında somut nitelikte bir tehlikeye yol açmayabileceği” hususları göz önünde bulundurulduğunda; gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca ilgilisine ve Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasının uygun olacağı,

Veri sorumlusu tarafından ilgili kişiye ait kişisel verileri içeren belgelerin de distribütör firmaya gönderilmesinin amaçlandığı ama hatalı teslimatla sonuçlanan kargo gönderim işlemi kapsamında kargo şirketinin rolü ve yükümlülüklerinin Kanun hükümleri karşısındaki durumu:

Somut olayda kargo şirketinin bahsi geçen kargo gönderim işlemindeki rolünün de Kanun hükümleri dikkate alınarak incelenmesinin gerektiği, kargo şirketinin ilgili kişinin şikâyetine esas kargo gönderim işlemi kapsamında Kanun’un 3’üncü maddesindeki tanımlar uyarınca “veri sorumlusu” veya “veri işleyen” sıfatını haiz olduğu bir senaryoda Kanun’dan kaynaklanan belli yükümlülüklerinin de gündeme gelebileceğinin açık olduğu,
Gerek ilgili kişi ve veri sorumlusunca gerekse de kargo şirketi tarafından dosyaya sunulan bilgi ve belgelerden; şikâyete esas kargo gönderim işleminde tüzel kişiliği haiz veri sorumlusunun “gönderici” sıfatını, tüzel kişiliği haiz distribütör firmanın ise “alıcı” sıfatını haiz olduğu ve ilgili kişinin kargo gönderiminin tarafı olmadığı, buradan da somut olay özelinde kargo içeriğini bilmesinin kendisinden beklenmeyen kargo şirketinin ilgili kişi hakkında veri sorumlusu veya veri işleyen sıfatıyla yürüttüğü herhangi bir kişisel veri işleme faaliyetinin bulunmadığı,
Dolayısıyla Kanun’un “Kapsam” başlıklı 2’nci maddesindeki “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” hükmüne istinaden somut olaydaki kargo gönderim işlemi özelinde ilgili kişi hakkında doğrudan bir kişisel veri işleme faaliyeti yürütmediği anlaşılan kargo şirketi hakkında Kanun hükümleri uyarınca yapılabilecek herhangi bir işlemin bulunmadığı, zira Kurumun resmî internet sitesinde yayımlanan “Veri Sorumlusu ve Veri İşleyen” başlıklı Rehber’in “Örnekler: Kargo Firmaları” başlıklı alt bölümünde yer alan “Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.” açıklamalarının da kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketlerinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden de Kanun’dan kaynaklanan bir yükümlülüklerinin bulunmayacağı hususlarını teyit ettiği,
Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden sonradan haberdar olmuş olabilecek kargo şirketinin Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan herhangi bir bildirim yükümlülüğünün de bulunmadığı, zira somut olayda Kanun’un 3’üncü maddesinde tanımlanan sıfatlardan herhangi birini haiz olmadığı,

değerlendirmelerinden hareketle;

İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına,
Somut olayda veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri göz önünde bulundurularak veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine gerek görülmemiş olsa da gelecekte onarım amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına,
Somut olayda veri sorumlusu tarafından ilgili kişiye ait kulaklığın onarımı için distribütör firmaya gönderilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin de koyulduğu kargo paketinin kargo şirketinin hatasıyla konudan bağımsız üçüncü bir şahsa teslim edilmesi neticesinde ilgili kişinin kargo paketi içerisindeki kişisel verilerinin kanuni olmayan bir yolla konudan bağımsız üçüncü bir kişi tarafından elde edilmiş olduğu anlaşılmakla birlikte, olayın tüm şartları ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasının amacı gözetildiğinde, ayrıca konuya ilişkin ilgili kişinin bilgisi olduğu dikkate alındığında; veri sorumlusu hakkında Kanun hükümleri dâhilinde yapılacak herhangi bir işlemin bulunmadığına, ancak gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede hem ilgilisine hem de Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin şikâyetine esas olaylar ve bu olaylardaki rolü ile Kanun’un “Kapsam” başlıklı 2’nci maddesi dikkate alındığında, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına,
Bunlarla birlikte, somut olayda ilgili kişinin hak mağduriyeti yaşamasına neden olabilecek hatalı bir kargo teslim işleminin bulunduğu göz önüne alındığında, anılan hatalı işlemden kaynaklanabilecek hukuki ve/veya cezai sorumluluğun takibi için yargı mercileri nezdinde girişimde bulunabileceği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

17.Mart.2022: “Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması"

Karar Tarihi	:	17/03/2022
Karar No	:	2022/249
Konu Özeti	:	Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda ilgili kişinin hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Veri sorumlusunun, ilgili kişi başvurularına özgülediği bir e-posta adresi oluşturduğu, ancak bu e-posta adresine gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı,
Veri sorumlusunun internet sitesinde, gerek ilgili kişinin başvuru tarihinde bulunan aydınlatma metninde gerekse de hali hazırda yürütülen KVKK Uyum Projesi kapsamında güncellenen aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiği, konu ile ilgili aydınlatmanın 6698 Kanun’un 10’uncu maddesi kapsamında gerçekleştirildiği,
Veri sorumlusunun İngiltere, Polonya, Çek Cumhuriyeti, Macaristan, Romanya, Suudi Arabistan, Mısır ve Türkiye'de hizmet vermekte olduğu, çok sayıda ülkede milyonlarca kullanıcının menfaatlerinin en güvenli şekilde karşılanabilmesi için, veri sorumlusunun hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, sistemlerinin Kanun ve Avrupa Veri Koruma Tüzüğü (GDPR) düzenlemelerinin yürürlüğe girmesinden önce bu mimari üzerinde geliştirilmeye başlandığı, anılan kanunlar ve kişisel verilerin korunmasına ilişkin mevzuatın yürürlüğe girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapılan çalışmaların devam ettirildiği,
Günümüzde çok sayıda ülkede ve tüketiciye hizmet veren teknoloji girişimlerinin ihtiyaçları bağlamında Türkiye'de bulunan barındırma hizmetlerinin yetersiz olduğu, Türkiye'deki barındırma hizmetlerinde ihtiyaç duyulan modern altyapı teknolojilerinin büyük çoğunluğunun bulunmadığı, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksikliğinin olduğu, buna karşın yurtdışında bulunan söz konusu hizmet sağlayıcının altyapı teknolojilerine çok daha fazla yatırım yapma kapasitesinin olduğu, Türkiye'de bulunan bağımsız sunucu barındırma şirketlerinin benzer bir yatırım yapma kapasitesi olmadığı için altyapı teknolojilerinin avantajlı hale getirilmesinin son derece güç olduğu, bu sebeple Türkiye'de operasyonu bulunan birçok teknoloji şirketinin de kendilerinin çalıştığı şirketten hizmet aldığı,
Veri sorumlusunun çok sayıda ülkede, çok sayıda tüketiciye hizmet sağlayabilmek için geliştirdiği teknolojilerin, kullandığı bulut servis sağlayıcının sunduğu altyapı teknolojilerinin üzerine inşa edildiği, veri sorumlusunun bu barındırma hizmetini tercih etmesindeki temel sebebin tüketicilerinin menfaatini üstün tutmak olduğu, siber saldırılar karşısında dahi tüketicilere kesintisiz hizmet verebildiği ve tüketicilerin verilerinin gizlilik ve güvenliğini bu saldırılara karşı koruyabildiği, veri sorumlusunun iş modeli çerçevesinde tüketicilerin ihtiyaçlarını karşılayabilmesinin de ancak bu firmanın sağladığı yenilikçi yapay zeka ve veri aktarımı teknolojileri sayesinde mümkün olabildiği, tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmesi açısından yurt dışında bulunan servis veya muadillerini kullanmasının gerekli olduğu,
Veri sorumlusunun barındırma hizmeti aldığı firma ile Kanun'un 9’uncu maddesinin (2) numaralı fıkrasının (b) bendi kapsamında bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurulun onayına sunacağı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının belirtildiği, ancak veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü oldukları, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularının asli sorumluluğunun; kişisel verilerin ilgili kişiden elde edildiği durumlarda kural olarak kişisel veri işleme faaliyetinden önce aydınlatma yükümlülüğünün yerine getirilmesi olduğu,
İlgili kişinin Kanun’un 13’üncü maddesi kapsamında veri sorumlusuna yaptığı başvurunun sehven gözden kaçırıldığı dikkate alındığında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında düzenlendiği üzere, veri sorumlusu tarafından ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alınmadığı kanaatine varıldığı,
Yurt dışına aktarım iddialarıyla ilgili veri sorumlusu cevap yazısında özetle, barındırma hizmeti kullanımı dolayısıyla yurt dışındaki sunucularda verilerin saklandığı ve benzer güvenlik önlemlerini sunan bir mekanizmanın ülke içinde bulunmadığı gerekçesiyle böyle bir uygulamanın yapılmakta olduğunun belirtildiği, öncelikle kişisel verilerin yurt dışına aktarılmasının, Kanun’un 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyeti olduğu, diğer bir ifade ile kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmadığı,
Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu maddesinin; (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağının hükme bağlandığı, (2) numaralı fıkrasında ise Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile özel nitelikli kişisel veriler bakımından 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı ve bu şartla birlikte, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabileceğinin hükme bağlandığı,
Kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebinin ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesini sağlamak olduğu, bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanun’un uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınmasının amaçlandığı,
Kanunun 9’uncu maddesinin (3) numaralı fıkrası uyarınca yeterli korumanın bulunduğu ülkelerin ise henüz Kurul tarafından belirlenmediği, diğer taraftan, Kurulun yeterli koruma bulunmayan ülkelere yapılacak aktarımlarda yeterli korumayı taahhüt etme yollarını öngördüğü, bu kapsamda, veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarımlarda kullanılmak üzere asgari şartları içerir iki adet taahhütname metni ve çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ile Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman hazırlanarak ilgililerin kullanımına sunulduğu, ayrıca, Kurulun yerleşik uygulamalarında da kişisel verilerin, dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının yurt dışına aktarım niteliğinde olduğuna ve sunucuları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetleri kapsamındaki kişisel veri işleme faaliyetlerinin de Kanun’un 9 uncu maddesine uygun olarak yerine getirilmesi gerektiğine karar verdiği,
Veri sorumlusunun, Kurul tarafından onaylanmış taahhütname başvurusu bulunmamakla birlikte Kanun kapsamında yurt dışına aktarım faaliyetinin hukuka uygun olabilmesi için açık rızadan başka bir hukuki sebep bulunmadığı, veri sorumlusu tarafından somut olayda yurt dışına aktarım faaliyeti kapsamında ilgili kişilerden belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rıza alınması yoluna da başvurulmadığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurula sunulmadığı, yurt dışına aktarım faaliyeti bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı anlaşıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varılması sebebiyle, veri sorumlusu şirketin birçok ülkede faaliyet gösterdiği ve ekonomik durumu, kişisel verilerin işlenmesinde kullanılan uygulama ve internet sitesi aracılığıyla toplanan çok sayıda kişisel verinin hukuka aykırı olarak yurt dışına aktarıldığı, söz konusu fiilden etkilenen ilgili kişilerin fazla olduğu, yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği, kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve 6698 sayılı Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 950.000 TL idari para cezası uygulanmasına,
Kişisel verilerin yurt dışına aktarılmasına ilişkin işlemlerin Kanun’un 9’uncu maddesine uygun hale getirilmesini teminen gerekli düzenlemelerin ivedilikle yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda veri sorumlusunun uyarılmasına

karar verilmiştir.

10.Şubat.2022: “Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi"

Karar Tarihi	:	10/02/2022
Karar No	:	2022/107
Konu Özeti	:	Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi

İlgili kişi tarafından Kuruma iletilen şikayet dilekçesinde özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta özetle İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığının, istenildiği zaman İYS sisteminden çıkılabildiğinin, söz konusu mesaj içeriğinde ret imkanının bulunduğunun ve sistemde kayıtlı ilgili kişiye ait telefon numarasının SMS gönderimine kapatıldığının belirtildiği, veri sorumlusu tarafından verilen cevapta belirtildiğinin aksine ilgili kişi tarafından İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği, ilgili kişinin kişisel verilerinin nasıl, hangi amaçlarla işlendiği ve kişisel verilerinin açık rızası olmadan işlenmesi konularında yeterli cevap verilmemesi ve kişisel veri güvenliğinin sağlanması konusunda yükümlülüğünün yerine getirilmemesi nedeniyle kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (6698 sayılı Kanun) aykırı olarak işlendiği ifade edilerek şirket hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) uyarınca çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in (Yönetmelik) Geçici 2’nci maddesinin (1) ve (2) numaralı fıkraları kapsamında İYS sistemine bildirdiği kayıtlar arasında ilgili kişinin telefon numarasına ilişkin kaydın da bulunduğu, ilgili kişinin anılan Yönetmelik’te belirtilen 16.01.2021 tarihine kadar İYS üzerinden veya ayrı bir kanaldan şirkete bildirdiği aksi yönde bir beyanının veri sorumlusu tarafından tespit edilemediği, bu durumda Yönetmelik uyarınca ilgili kişi tarafından verilmiş bu tarihten önceki onayın geçerli sayıldığı,
Yönetmelik’in ilgili geçici maddesi uyarınca şirkete tanınan istisna düzenlemesine göre 16.01.2021 tarihine kadar bu izni kaldırdığını ispat yükünün ilgili kişinin üzerinde kaldığı,
Yönetmelik hükümlerine uygun olarak ilgili kişinin cep telefonu numarasının ticari ileti gönderilmek amacıyla 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendi uyarınca “kanunlarda açıkça öngörülmesi” işleme şartına dayalı olarak işlendiği,
Yönetmelik’in 13’üncü maddesinin (2) numaralı fıkrasında şirket gibi hizmet sağlayıcılara ticari iletişime ilişkin kayıtları 3 yıl süreyle saklama yükümlülüğü getirildiği,
Şirketin, ilgili kişiden gelen talep üzerine yalnızca SMS gönderim faaliyetine son verdiği, bunu da ilgili kişiye verdiği cevabında açıkça belirtmiş olduğu,
İlgili kişinin kayıtlarına bakıldığında kendisinin şirkete başvurduğu tarihte henüz SMS ret talebinde bulunmadığı, ilgili kişinin Kuruma şikayette bulunduktan sonra dahi SMS onayı olduğunun görüldüğü, ilgili kişi tarafından verilen onaya ilişkin retlerin sonraki tarihte sisteme girildiği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/107 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte somut olayda olduğu gibi ilgili kişiye ait cep telefon numarasının bir veri kayıt sisteminde depolanması suretiyle ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyeti olduğu, dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim numarasının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiği,
6563 sayılı Kanun’un 11’inci maddesinin (4) numaralı fıkrasına göre Bakanlık’ın, ticari elektronik ileti onaylarının alınmasına ve reddetme hakkının kullanılmasına imkân tanıyan bir elektronik sistem kurmaya veya kurdurmaya yetkili olduğu, bu Kanun çerçevesinde alınan onayların Bakanlıkça belirlenen süre içinde sisteme aktarılması gerektiği, sisteme aktarılmayan onayların geçersiz kabul edileceği, alıcıların, sisteme kaydedilen onayları Bakanlıkça belirlenen süre içinde kontrol edeceği, bu sürenin bitiminden sonra gönderilen ticari elektronik iletilerin onaylı kabul edileceği, alıcılar tarafından reddetme hakkının bu sistem üzerinden kullanılacağı, sistemin kurulması, onayların sisteme aktarılması, saklanması, reddetme hakkının sistem üzerinden kullanılması ve sistemin işleyişine ilişkin diğer usul ve esasların yönetmelikle belirleneceği,
Veri sorumlusu tarafından ilgili Yönetmelik’in “Mevcut veri tabanlarının İYS’ye yüklenmesi” başlıklı Geçici 2’nci maddesinin (2) numaralı fıkrası dikkate alındığında şirketin İYS sistemine bildirdiği kayıtlar arasında ilgili kişinin telefon numarasının bulunduğu ve ilgili kişi tarafından verilen onayın geri alınmasının Kuruma şikayet tarihinden sonra sisteme girildiğinin belirtildiği ancak ilgili kişinin iddialarına karşı veri sorumlusu tarafından sunulan bilgi ve belgeler değerlendirildiğinde, ilgili kişinin cep telefonu numarasının İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusunun sunduğu bilgi ve belgeler arasında, ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğuna ilişkin tevsik edici bilgi veya belge olmadığının tespit edildiği,
Diğer taraftan ilgili kişi tarafından Kuruma yapılan şikâyette, kişisel verilerinin güvenliğinin sağlanması konusunda veri sorumlusunun yükümlülüklerini yerine getirmemesi (örneğin kişisel verinin başkasına aktarılması vb.) nedeniyle kişisel verilerinin Kanun’a aykırı işlendiği iddia edilmiş olsa da veri güvenliğine ilişkin bu hususun Kanun’un 11’inci maddesi kapsamında olmadığı ve ihlale ilişkin tevsik edici bilgi ve belge sunulmadığı

değerlendirmelerinden hareketle;

Somut olayda, veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı kanaatine varılan; veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
Hukuka aykırı işlendiği tespit edilen söz konusu kişisel verinin, başka bir işleme sebebi bulunmaması halinde, Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha ederek sonucundan Kurula bilgi vermesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin şikâyetinde belirttiği, veri sorumlusunun kişisel verilerinin güvenliğinin sağlanması konusundaki yükümlülüklerini yerine getirmediği iddialarının Kanun’un 11’inci maddesi kapsamında olmadığı dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

Ocak.2023: “TikTok Pte. Ltd.”

Karar No	:	2023/134
Konu Özeti	:	TikTok Pte. Ltd nezdinde gerçekleşen veri ihlalinin değerlendirilmesi

İnternet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğuna yönelik yer alan muhtelif haber ve şikayetlerden hareketle Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma yazıları ve bununla bağlantılı olarak Gizlilik Politikası ve Hizmet Koşullarının incelenmesi neticesinde, Kişisel Verileri Koruma Kurulu’nun 2023/134 sayılı Kararı ile;

TikTok’un 2021 yılı Ocak ayında Gizlilik Politikasında güncelleme gerçekleştiği, güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği bu sayede, yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, videoları indirebilecek ve yorum yapabilecek kişilerin sınırlandırıldığı belirtilmekle birlikte; belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının, hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği,
2021 yılı Ocak ayında Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
Veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde Kişisel Verilerin Korunması Kanunu'nun 5’nci maddesinde yer alan işleme şartlarının tümünün belirtildiği, ancak hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu hususta veri sorumlusunca Kanun’un 4'üncü maddesinde yer alan "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırı hareket edildiği,
TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde Hizmet Koşulları (Kullanım Şartları) ile Gizlilik Politikasını kabul etmiş sayılacaklarının belirtildiği , ancak Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesinin ihtimal dahilinde olduğu,
Platformda hesap oluştururken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, TikTok’un Gizlilik Politikasının, esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu, ancak açık rıza metni yerine de kullanıldığı, dolayısıyla, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (f) bendine göre açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
Veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı

anlaşıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.750.000 TL idari para cezası uygulanmasına,

Ayrıca veri sorumlusunun;

İlgili kişilerin doğru bilgilendirilmesi adına Hizmet Koşullarının bir ay içerisinde Türkçeye çevrilmesi,
İlgili kişilerin doğru bilgilendirilmesi için söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesi,
Gizlilik Politikasının, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanun’un 10'uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması

hususunda talimatlandırılmasına

karar verilmiştir.

Kurul Karar Özetleri - Önceki Kararlar

Türkiye ve Dünyada

MEVZUAT ve KVKK KURUL KARARLARI

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ

“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

KAMUOYU DUYURUSU

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı

Bir yanıt yazın Yanıtı iptal et

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ